Das National Institute of Standards and Technology (NIST) hat seine Kennwortrichtlinien gemäß neuen Forschungsergebnissen aktualisiert. Die US-Regierung verlangt von ihren Behörden, diese Richtlinien zu befolgen, und viele andere Organisationen würden ebenfalls von der Umsetzung dieser Regeln profitieren.
Diese Praktiken stellen einen angemessenen Standard dar und helfen Ihnen, vertrauliche Informationen zu schützen und vor Verstößen zu schützen.1
NIST ist eine Bundesbehörde, die US fördert. innovation und Industrie durch Weiterentwicklung der Technologie- und Informationssicherheitsinfrastruktur des Landes.2 Das Befolgen dieser aktualisierten Richtlinien kann Ihnen helfen, Ihre Kennwortsicherheitspraktiken zu verbessern und die Effizienz Ihrer Mitarbeiter zu steigern. Als nächstes führen wir Sie durch die empfohlenen Praktiken aus den neuen Richtlinien und wie Sie diese einhalten können.
Erhöhen Sie die Kennwortlänge
Die Länge ist ein kritischer Bestandteil sicherer Kennwörter. Längere Passwörter sind statistisch weniger wahrscheinlich geknackt werden. Aus diesem Grund erfordert NIST jetzt eine Mindestlänge von acht Zeichen für benutzergenerierte Kennwörter und sechs Zeichen für diejenigen, die von einer Maschine generiert werden. Um mehr Sicherheit für sensiblere Konten zu gewährleisten, sollten Sie laut NIST die maximale Kennwortlänge auf 64 Zeichen festlegen.3
Sonderzeichen und Leerzeichen zulassen
Eine weitere Möglichkeit, die Sicherheitsstufen zu erhöhen, besteht darin, die Verwendung von Sonderzeichen in Passwörtern zuzulassen. NIST verlangt jetzt, dass Systeme Kennwörter zulassen, die Sonderzeichen enthalten, sogar Emojis und Leerzeichen. Die neuen Richtlinien verbieten sequentielle (ex: 1234) oder wiederholen (ex: aaaa) Zeichen und Wörterbuchwörter.3
Benutzern erlauben, Text einzufügen
Die Richtlinien fördern die Verwendung automatisierter Systeme für zusätzliche Sicherheit. Kennwortfelder müssen es Benutzern nun ermöglichen, Text mithilfe der Kopier- und Einfügefunktion eines Geräts einzufügen. Dies bietet Benutzern die Möglichkeit, Passwort-Manager zu verwenden, was die Sicherheit erheblich erhöhen kann.
Gespeicherte Passwörter müssen ebenfalls gehasht und gesalzen werden (Sicherheitsmaßnahmen ähnlich der Verschlüsselung). Dies sind Sicherheitsmaßnahmen, die dazu beitragen, gespeicherte Kennwörter zu schützen. Wenn sie in Kraft treten, können Hacker Ihre Passwortdaten nicht lesen, selbst wenn sie es schaffen, sie zu stehlen.3
Outlaw-Kennworthinweise
Kennworthinweise sind ein Beispiel für eine zusätzliche Sicherheitsmaßnahme, die die Kennwortsicherheit tatsächlich untergraben kann. Es ist nur allzu üblich, dass Benutzer Hinweise setzen, die es sehr einfach machen, das Passwort zu bestimmen. Dies macht den Zweck zunichte, überhaupt ein Passwort zu haben.
Um dies zu verhindern, hat NIST die Verwendung von Passworthinweisen vollständig verboten. Wissensbasierte Authentifizierung (KBA) Fragen wie „In welcher Straße sind Sie aufgewachsen?“ auch nicht mehr erlaubt. Die Antworten darauf sind zu leicht über das Internet zu finden und können leicht zu einer Verletzung führen.3
Periodische Passwortänderungsanforderungen entfernen
Jüngste Studien haben gezeigt, dass Unternehmensrichtlinien, die häufige Passwortänderungen erfordern, für eine gute Passwortsicherheit kontraproduktiv sind. NIST empfiehlt, diese Anforderung zu entfernen, um die Benutzerfreundlichkeit zu erhöhen und die Kennwortsicherheit benutzerfreundlicher zu gestalten.
In vielen Branchen gibt es seit Jahren einen Standard für häufige Kennwortänderungen, daher kann es einige Zeit dauern, bis dieser neue Standard allgemein eingehalten wird. Aber für diejenigen, die den vorherigen Standard für unnötig hielten, kann dies eine willkommene Abwechslung sein.1
Komplexität reduzieren
NIST empfiehlt, die Anforderungen an die Passwortkomplexität zu minimieren, z. B. die erforderliche Einbeziehung von Großbuchstaben, Symbolen und Zahlen. Wie bei häufigen Kennwortänderungsrichtlinien können diese Anforderungen zu Kennwörtern führen, die die Benutzerfreundlichkeit verringern und die Effizienz der Mitarbeiter beeinträchtigen. Die Reduzierung der Passwortkomplexität kann ein weiterer großer Schritt auf dem Weg zu besseren Sicherheitspraktiken sein, die für Mitarbeiter einfacher zu verwalten sind.1
Überprüfung neuer Kennwörter auf häufig verwendete oder kompromittierte Kennwörter
Eine gängige Sicherheitspraxis besteht darin, die Kennwörter Ihrer Benutzer anhand von Listen häufig verwendeter Kennwörter und bekannter kompromittierter Kennwörter zu überprüfen. NIST empfiehlt, Software zu verwenden, die vorgeschlagene Kennwörter mit zuvor gespeicherten oder offengelegten Kennwörtern vergleichen kann. Dies schützt vor der Hacking-Praxis, bekannte Passwörter in neuen Einstellungen auszuprobieren.1
- Neue Passwort-Richtlinien der US-Bundesregierung über NIST
- NIST Special Publication 800-63B
- Die neuen NIST-Richtlinien
Teilen ist wichtig!