Rámec kybernetické bezpečnosti NIST
Rámec kybernetické bezpečnosti NIST, známý také jako „Cybical Infrastructure Cybersecurity“, představuje široké uspořádání pravidel specifikujících, jak mohou organizace udržet kyberzločince pod kontrolou. CSF NIST se skládá ze tří hlavních složek:
- Jádro: Vede organizace ke správě a snižování jejich rizik kybernetické bezpečnosti.
- Úroveň implementace: Pomáhá organizacím poskytovat informace týkající se pohledu organizace na řízení rizik kybernetické bezpečnosti.
- Profil: Jedinečná struktura organizace týkající se jejích požadavků, cílů a zdrojů.
Doporučení
Následuje seznam návrhů a doporučení poskytovaných NIST v jejich nedávné revizi pokynů pro hesla.
- Délka znaků: Organizace si mohou vybrat heslo s minimální délkou znaků 8, ale NIST důrazně doporučuje nastavit heslo až na maximálně 64 znaků.
- Zabránění neoprávněnému přístupu: V případě, že se neoprávněná osoba pokusila přihlásit k vašemu účtu, doporučuje se heslo revidovat v případě pokusu o odcizení hesla.
- Ohroženo: Když malé organizace nebo jednoduchí uživatelé narazí na odcizené heslo, obvykle si heslo změní a zapomenou, co se stalo. NIST navrhuje, aby byla uvedena všechna hesla, která byla odcizena pro současné i budoucí použití.
- Tipy: Při výběru hesel ignorujte rady a bezpečnostní otázky.
- Pokusy o ověření: NIST důrazně doporučuje omezit počet pokusů o ověření v případě selhání. Počet pokusů je omezený a pro hackery by bylo nemožné vyzkoušet více kombinací hesel pro přihlášení.
- Kopírování a vkládání: NIST doporučuje pro usnadnění správců použít pole pro vložení do pole hesla. Oproti tomu se v předchozích pokynech toto zařízení pro vkládání nedoporučovalo. Správci hesel používají toto zařízení pro vkládání, pokud jde o použití jediného hlavního hesla k vniknutí dostupných hesel.
- Pravidla složení: Složení znaků může vést k nespokojenosti koncového uživatele, proto se doporučuje toto složení přeskočit. NIST dospěl k závěru, že uživatel obvykle projevuje nedostatek zájmu o nastavení hesla se složením znaků, což následně jeho heslo oslabuje. Pokud například uživatel nastaví své heslo jako „časovou osu“, systém jej nepřijme a požádá uživatele, aby použil kombinaci velkých a malých znaků. Poté musí uživatel změnit heslo podle pravidel kompoziční sady v systému. NIST proto navrhuje vyloučit tento požadavek na složení, protože organizace mohou mít nepříznivý vliv na bezpečnost.
- Použití znaků: Hesla obsahující mezery jsou obvykle odmítnuta, protože je započítána mezera a uživatel zapomene mezerové znaky, což ztěžuje zapamatování hesla. NIST doporučuje použít jakoukoli kombinaci, kterou uživatel chce, což lze snáze zapamatovat a vyvolat, kdykoli je to potřeba.
- Změna hesla: Časté změny hesel se většinou doporučují v organizačních bezpečnostních protokolech nebo pro jakýkoli druh hesla. Většina uživatelů si zvolí snadné a zapamatovatelné heslo, které bude v blízké budoucnosti změněno podle bezpečnostních pokynů organizací. NIST doporučuje neměnit heslo často a zvolit si heslo, které je dostatečně složité, aby ho bylo možné dlouhodobě spouštět, aby splňovalo požadavky uživatele a zabezpečení.
Co když je heslo ohroženo?
Oblíbenou prací hackerů je porušování bezpečnostních bariér. Za tímto účelem pracují na objevování inovativních možností, jak projít. Porušení zabezpečení má nespočet kombinací uživatelských jmen a hesel, které prolomí jakoukoli bezpečnostní bariéru. Většina organizací má také seznam hesel přístupných hackerům, takže blokují jakýkoli výběr hesel ze seznamu hesel, který je také přístupný hackerům. Z pohledu stejného zájmu, pokud některá organizace nemá přístup k seznamu hesel, poskytla NIST několik pokynů, které seznam hesel může obsahovat:
- Seznam hesel, která byla dříve porušena.
- Jednoduchá slova vybraná ze slovníku (např.G., „obsahovat“, „přijato“ atd.)
- Znaky hesla, které obsahují opakování, série nebo jednoduchou řadu (např.G. 'cccc, "abcdef,' nebo 'a1b2c3').
Proč se řídit pokyny NIST?
Pokyny poskytované NIST udržují přehled o hlavních bezpečnostních hrozbách souvisejících s hackováním hesel pro mnoho různých druhů organizací. Dobrá věc je, že pokud NIST zjistí jakékoli narušení bezpečnostní bariéry způsobené hackery, může revidovat své pokyny pro hesla, jak to dělají od roku 2017. Na druhou stranu, jiné bezpečnostní standardy (např.G., HITRUST, HIPAA, PCI) neaktualizují ani revidují základní počáteční pokyny, které poskytli.