a Nemzeti Szabványügyi és Technológiai Intézet (NIST) frissítette a password guidelines összhangban új kutatás. Az Egyesült Államok kormánya megköveteli ügynökségeitől, hogy kövessék ezeket az irányelveket, és sok más szervezet számára is előnyös lenne ezeknek a szabályoknak a végrehajtása.
ezek a gyakorlatok ésszerű szabványt képviselnek, és segítenek a Bizalmas Információk biztonságos megőrzésében és a jogsértések elleni védelemben.1
a NIST egy szövetségi ügynökség, amely elősegíti az Egyesült Államokat. innováció és ipar a nemzet technológiai és információbiztonsági infrastruktúrájának előmozdításával.2 A frissített irányelvek betartása segíthet a jelszóbiztonsági gyakorlatok javításában és a személyzet hatékonyságának növelésében. Ezután áttekintjük az új irányelvek ajánlott gyakorlatait, és azt, hogyan kell betartani őket.
jelszó hosszának növelése
a hossz az erős jelszavak kritikus eleme. A hosszabb jelszavakat statisztikailag kevésbé valószínű, hogy feltörik. Emiatt a NIST-nek legalább nyolc karakter hosszúságra van szüksége a felhasználó által létrehozott jelszavakhoz, és hat karakterre a gép által generált jelszavakhoz. Az érzékenyebb fiókok nagyobb biztonságának biztosítása érdekében a NIST szerint a jelszó maximális hosszát 64 karakterre kell állítania.3
speciális karakterek és szóközök engedélyezése
a biztonsági szintek növelésének másik módja a speciális karakterek használata a jelszavakban. A NIST most olyan rendszereket igényel, amelyek lehetővé teszik a speciális karaktereket tartalmazó jelszavakat, még hangulatjeleket és szóközöket is. Az új irányelvek tiltják a szekvenciális (ex: 1234) vagy ismétlődő (pl. AAAA) karakterek és szótári szavak.3
szöveg beillesztésének engedélyezése a felhasználók számára
az irányelvek ösztönzik az automatizált rendszerek használatát a nagyobb biztonság érdekében. A jelszómezőknek lehetővé kell tenniük a felhasználók számára, hogy szöveget illesszenek be az eszköz másolási és beillesztési funkciójával. Ez lehetővé teszi a felhasználók számára a jelszókezelők használatát, ami jelentősen növelheti a biztonságot.
a tárolt jelszavakat szintén hasholni és sózni kell (a titkosításhoz hasonló biztonsági intézkedések). Ezek olyan biztonsági intézkedések, amelyek segítenek megvédeni a tárolt jelszavakat. Ha életbe lép, a hackerek akkor sem tudják elolvasni a jelszó adatait, ha sikerül ellopniuk.3
Outlaw password hints
a Password hints egy példa egy hozzáadott biztonsági intézkedésre, amely valójában alááshatja a jelszó biztonságát. Túl gyakori, hogy a felhasználók olyan tippeket állítanak be, amelyek megkönnyítik a jelszó meghatározását. Ez elsősorban a jelszó megszerzésének célját szünteti meg.
ennek megakadályozása érdekében a NIST teljesen betiltotta a jelszó-tippek használatát. Tudásalapú hitelesítés (kba) kérdések, mint például: “Melyik utcán nőttél fel?”szintén már nem engedélyezett. Az ezekre adott válaszok túl könnyen megtalálhatók az Interneten keresztül, és könnyen megsértéshez vezethetnek.3
Remove periodic password change requirements
a legújabb tanulmányok kimutatták, hogy a gyakori jelszóváltoztatást igénylő vállalati irányelvek kontraproduktívak a jó jelszóbiztonság szempontjából. A NIST azt javasolja, hogy szüntessék meg ezt a követelményt, amely növeli a használhatóságot és felhasználóbarátabbá teszi a jelszó biztonságát.
sok iparágban évek óta gyakori a jelszóváltási szabvány, ezért eltarthat egy ideig, amíg ezt az új szabványt általában betartják. De azok számára, akik szükségtelennek találták az előző szabványt, ez örvendetes változás lehet.1
a komplexitás csökkentése
a NIST azt javasolja, hogy minimalizálják a jelszó összetettségének követelményeit, például a nagybetűk, szimbólumok és számok szükséges beillesztését. A gyakori jelszóváltási irányelvekhez hasonlóan ezek a követelmények olyan jelszavakat eredményezhetnek, amelyek csökkentik a használhatóságot és gátolják az alkalmazottak hatékonyságát. A jelszó bonyolultságának csökkentése újabb nagy lépés lehet A jobb biztonsági gyakorlatok felé vezető úton, amelyeket az alkalmazottak könnyebben kezelhetnek.1
az új jelszavak szűrése az általánosan használt vagy kompromittált jelszavak ellen
az általánosan elterjedt biztonsági gyakorlat a felhasználók jelszavainak szűrése az általánosan használt jelszavak és az ismert, kompromittált jelszavak listáival. A NIST azt javasolja, hogy használjon olyan szoftvert, amely ellenőrizheti a javasolt jelszavakat a korábban tartott vagy kitett jelszavakkal szemben. Ez megvédi az ismert jelszavak új beállításokban történő kipróbálásának hackelési gyakorlatát.1
- Új jelszó irányelvek Az Egyesült Államok Szövetségi kormányától a NIST-en keresztül
- NIST különleges Kiadvány 800-63B
- az új NIST Irányelvek
a megosztás gondoskodó!