the National Institute of Standards and Technology (NIST) on päivittänyt salasanaohjeensa uuden tutkimuksen mukaisesti. Yhdysvaltain hallitus vaatii virastojaan noudattamaan näitä ohjeita, ja myös monet muut järjestöt hyötyisivät näiden sääntöjen täytäntöönpanosta.
nämä käytännöt edustavat kohtuullisia standardeja ja auttavat pitämään luottamukselliset tiedot turvassa ja suojautumaan rikkomuksilta.1
NIST on liittovaltion virasto, joka edistää Yhdysvaltoja. innovaatio ja teollisuus edistämällä kansakunnan teknologian ja tietoturvan infrastruktuuria.2 näiden päivitettyjen ohjeiden avulla voit parantaa salasanasi turvallisuuskäytäntöjä ja lisätä henkilöstön tehokkuutta. Seuraavaksi käymme läpi uusien ohjeiden suosittelemat käytännöt ja niiden noudattamisen.
lisätä salasanan pituutta
pituus on vahvojen salasanojen kriittinen osa. Pidemmät salasanat murtuvat tilastollisesti harvemmin. Tämän vuoksi NIST vaatii nyt vähintään kahdeksan merkin pituuden käyttäjän luomille salasanoille ja kuusi merkkiä koneen luomille salasanoille. Jotta arkaluonteisempien tilien tietoturva paranisi, nistin mukaan salasanan enimmäispituudeksi tulisi asettaa 64 merkkiä.3
salli erikoismerkit ja välilyönnit
toinen tapa kohottaa turvatasoa on sallia erikoismerkkien käyttö salasanoissa. NIST vaatii nyt järjestelmiä sallimaan salasanoja, jotka sisältävät erikoismerkkejä, jopa emojeja ja välilyöntejä. Uudet ohjeet kieltävät jaksottamisen (ENT.: 1234) tai toistavia (ex: aaaa) merkkejä ja sanakirjasanoja.3
käyttäjät voivat liittää tekstiä
ohjeet kannustavat käyttämään automaattisia järjestelmiä lisäturvan aikaansaamiseksi. Salasanakenttien on nyt sallittava käyttäjien liittää tekstiä laitteen copy and paste-ominaisuuden avulla. Tämä antaa käyttäjille mahdollisuuden käyttää salasananhallintaohjelmia, mikä voi lisätä huomattavasti turvallisuutta.
tallennetut salasanat on myös tiivistettävä ja suolattava (salausta muistuttavat turvatoimet). Nämä ovat turvatoimia, jotka auttavat suojaamaan salasanoja, jotka ovat varastossa. Jos se otetaan käyttöön, hakkerit eivät pysty lukemaan salasanasi tietoja, vaikka he onnistuisivat varastamaan ne.3
lainsuojattomien salasanavihjeet
salasanavihjeet ovat yksi esimerkki lisäturvakeinosta, joka voi todella heikentää salasanojen turvallisuutta. On aivan liian yleistä, että käyttäjät voivat asettaa vihjeitä, joiden avulla salasanan määrittäminen on erittäin helppoa. Tämä kumoaa tarkoitus ottaa salasana ensinnäkin.
estääkseen tämän NIST on kieltänyt salasanavihjeiden käytön kokonaan. Knowledge-based authentication (KBA) – kysymykset, kuten ”What street did you grow up on?”eivät myöskään ole enää sallittuja. Vastaukset näihin löytyvät liian helposti Internetistä, ja ne voivat helposti johtaa tietomurtoon.3
Poista kausittaiset salasananvaihtovaatimukset
viimeaikaiset tutkimukset ovat osoittaneet, että yhtiön käytännöt, jotka vaativat toistuvia salasananvaihtoja, ovat haitaksi hyvälle salasanaturvalle. NIST suosittelee poistamaan tämän vaatimuksen, jonka pitäisi lisätä käytettävyyttä ja tehdä salasanojen tietoturvasta käyttäjäystävällisempää.
monilla toimialoilla on ollut käytössä toistuva salasananvaihtostandardi jo vuosia, joten voi kestää jonkin aikaa ennen kuin tämä uusi standardi on yleisesti noudatettu. Mutta niille, jotka kokivat edellisen standardin tarpeettomaksi, tämä voi tulla tervetulleena muutoksena.1
vähennä monimutkaisuutta
NIST suosittelee minimoimaan salasanan monimutkaisuutta koskevat vaatimukset, kuten suurten kirjainten, symbolien ja numeroiden välttämättömän sisällyttämisen. Kuten usein salasananvaihtokäytännöissä, nämä vaatimukset voivat johtaa salasanoihin, jotka heikentävät käytettävyyttä ja haittaavat työntekijöiden tehokkuutta. Salasanan monimutkaisuuden vähentäminen voi olla toinen suuri askel kohti parempia turvallisuuskäytäntöjä, joita työntekijöiden on helpompi hallita.1
Etsi uusia salasanoja yleisesti käytettyjä tai vaarantuneita salasanoja vastaan
yleisesti käytössä oleva tietoturvakäytäntö on seuloa käyttäjien salasanat luetteloihin yleisesti hallussa olevista salasanoista ja tunnetuista vaarantuneista salasanoista. NIST suosittelee käyttämään ohjelmistoja, jotka voivat tarkistaa ehdotetut salasanat aiemmin hallussa olleita tai paljastuneita salasanoja vastaan. Tämä suojaa hakkerointikäytännöltä, jossa tuttuja salasanoja kokeillaan uusissa asetuksissa.1
- New password guidelines from the US federal government via NIST
- NIST Special Publication 800-63B
- The New NIST Guidelines
Sharing is caring!