Narodowy Instytut Standardów i technologii (NIST) zaktualizował swoje wytyczne dotyczące haseł zgodnie z nowymi badaniami. Rząd USA wymaga od swoich agencji przestrzegania tych wytycznych, a wiele innych organizacji skorzystałoby również na wdrożeniu tych zasad.
praktyki te stanowią rozsądny standard i pomogą Ci chronić poufne informacje i chronić je przed naruszeniami.1
NIST jest agencją federalną, która promuje USA. innowacje i przemysł poprzez rozwój Krajowej Infrastruktury technologii i bezpieczeństwa informacji.2 przestrzeganie tych zaktualizowanych wytycznych może pomóc poprawić praktyki bezpieczeństwa haseł i zwiększyć wydajność personelu. Następnie przeprowadzimy Cię przez zalecane praktyki z nowych wytycznych i jak się do nich stosować.
zwiększ długość hasła
długość jest kluczowym składnikiem silnych haseł. Dłuższe hasła są statystycznie mniej narażone na pękanie. Z tego powodu NIST wymaga teraz minimalnej długości ośmiu znaków dla haseł generowanych przez użytkowników i sześciu znaków dla tych, które są generowane przez maszynę. Aby zapewnić większe bezpieczeństwo bardziej wrażliwym kontom, NIST mówi, że należy ustawić maksymalną długość hasła na 64 znaki.3
Zezwalaj na znaki specjalne i spacje
innym sposobem zwiększenia poziomu bezpieczeństwa jest umożliwienie używania znaków specjalnych w hasłach. NIST wymaga teraz, aby systemy zezwalały na hasła zawierające znaki specjalne, nawet emotikony i spacje. Nowe wytyczne zakazują sekwencyjnego (ex: 1234) lub powtarzanie (np. aaaa) znaków i słów słownikowych.3
Zezwalaj użytkownikom na wklejanie tekstu
wytyczne zachęcają do stosowania zautomatyzowanych systemów w celu zwiększenia bezpieczeństwa. Pola hasła muszą teraz umożliwiać użytkownikom wklejanie tekstu za pomocą funkcji kopiowania i wklejania urządzenia. Daje to użytkownikom możliwość korzystania z menedżerów haseł, co może znacznie zwiększyć bezpieczeństwo.
przechowywane hasła muszą być również hashowane i solone (środki bezpieczeństwa podobne do szyfrowania). Są to środki bezpieczeństwa, które pomagają chronić hasła znajdujące się w pamięci masowej. Jeśli zostanie to wprowadzone w życie, hakerzy nie będą mogli odczytać danych hasła, nawet jeśli uda im się je ukraść.3
podpowiedzi do haseł zakazanych
podpowiedzi do haseł są jednym z przykładów dodatkowego środka bezpieczeństwa, który może faktycznie podważyć bezpieczeństwo haseł. Zbyt często użytkownicy ustawiają podpowiedzi, które bardzo ułatwiają określenie hasła. To niszczy cel posiadania hasła w pierwszej kolejności.
aby temu zapobiec, NIST całkowicie zakazał używania podpowiedzi haseł. Knowledge-based authentication (KBA) pytania typu ” na jakiej ulicy dorastałeś?”również nie są już dozwolone. Odpowiedzi na te pytania są zbyt łatwo znaleźć w Internecie i mogą łatwo prowadzić do naruszenia.3
Usuń okresowe wymagania dotyczące zmiany hasła
ostatnie badania wykazały, że zasady firmy, które wymagają częstych zmian haseł, są szkodliwe dla dobrego bezpieczeństwa haseł. NIST zaleca usunięcie tego wymogu, co powinno zwiększyć użyteczność i uczynić bezpieczeństwo hasłem bardziej przyjaznym dla użytkownika.
wiele branż od lat stosuje częstą zmianę hasła, więc może minąć trochę czasu, zanim ten nowy standard będzie powszechnie przestrzegany. Ale dla tych, którzy uznali poprzedni standard za niepotrzebny, może to być mile widziana zmiana.1
zmniejsz złożoność
NIST zaleca zminimalizowanie wymagań dotyczących złożoności hasła, takich jak konieczne włączenie dużych liter, symboli i liczb. Podobnie jak w przypadku polityki częstej zmiany hasła, wymagania te mogą powodować, że hasła zmniejszają użyteczność i utrudniają wydajność pracowników. Zmniejszenie złożoności haseł może być kolejnym wielkim krokiem na drodze do lepszych praktyk bezpieczeństwa, którymi pracownicy łatwiej zarządzać.1
sprawdzanie nowych haseł przed powszechnie używanymi lub zagrożonymi hasłami
powszechnie stosowaną praktyką bezpieczeństwa jest sprawdzanie haseł użytkowników przed listami powszechnie przechowywanych haseł i znanych haseł naruszonych. NIST zaleca korzystanie z oprogramowania, które może sprawdzać proponowane hasła z wcześniej posiadanymi lub ujawnionymi hasłami. Chroni to przed hakerską praktyką próbowania znanych haseł w nowych Ustawieniach.1
- nowe wytyczne dotyczące haseł od rządu federalnego USA za pośrednictwem NIST
- NIST Special Publication 800-63b
- nowe wytyczne NIST
dzielenie się jest troskliwe!