National Institute of Standards and Technology (NIST) har uppdaterat sina riktlinjer för lösenord i enlighet med ny forskning. Den amerikanska regeringen kräver att dess byråer följer dessa riktlinjer, och många andra organisationer skulle också dra nytta av att genomföra dessa regler.
dessa metoder representerar en rimlig standard och hjälper dig att hålla konfidentiell information säker och skydda mot överträdelser.1
NIST är en federal byrå som främjar USA. innovation och industri genom att främja landets teknik-och informationssäkerhetsinfrastruktur.2 genom att följa dessa uppdaterade riktlinjer kan du förbättra dina rutiner för lösenordssäkerhet och öka personalens effektivitet. Därefter tar vi dig igenom rekommenderade metoder från de nya riktlinjerna och hur du följer dem.
öka lösenordslängden
längd är en kritisk komponent i starka lösenord. Längre lösenord är statistiskt mindre benägna att knäckas. På grund av detta kräver NIST nu en minimilängd på åtta tecken för användargenererade lösenord och sex tecken för de som genereras av en maskin. För att säkerställa större säkerhet för känsligare konton säger NIST att du bör ställa in maximal lösenordslängd på 64 tecken.3
Tillåt specialtecken och mellanslag
ett annat sätt att öka säkerhetsnivåerna är att tillåta användning av specialtecken i lösenord. NIST kräver nu system för att tillåta lösenord som innehåller specialtecken, även emojis och mellanslag. De nya riktlinjerna förbjuder Sekventiell (ex: 1234) eller upprepande (ex: aaaa) tecken och ordboksord.3
Tillåt användare att klistra in text
riktlinjerna uppmuntrar användningen av automatiserade system för ökad säkerhet. Lösenordsfält måste nu tillåta användare att klistra in text med hjälp av en enhets kopiera och klistra in funktionen. Detta ger användarna möjlighet att använda lösenordshanterare, vilket i hög grad kan öka säkerheten.
lagrade lösenord måste också hashas och saltas (säkerhetsåtgärder som liknar kryptering). Det här är säkerhetsåtgärder som hjälper till att skydda lösenord som finns i lagring. Om de träder i kraft kommer hackare inte att kunna läsa dina lösenordsdata även om de lyckas stjäla dem.3
Outlaw password tips
Password tips är ett exempel på en extra säkerhetsåtgärd som faktiskt kan undergräva lösenordssäkerhet. Det är bara för vanligt för användare att ställa in tips som gör det väldigt enkelt att bestämma lösenordet. Detta motverkar syftet med att ha ett lösenord i första hand.
för att förhindra detta har NIST helt förbjudit användningen av lösenordstips. Kunskapsbaserad autentisering (KBA) frågor som ”vilken gata växte du upp på?”är inte heller längre tillåtet. Svaren på dessa är alltför lätt att hitta via internet, och kan lätt leda till ett brott.3
ta bort periodiska lösenordsändringskrav
nya studier har visat att företagspolicyer som kräver frekventa lösenordsändringar är kontraproduktiva för god lösenordssäkerhet. NIST rekommenderar att du tar bort detta krav, vilket bör öka användbarheten och göra lösenordssäkerheten mer användarvänlig.
många branscher har haft en frekvent lösenordsändringsstandard på plats i flera år, så det kan ta lite tid innan denna nya standard ofta observeras. Men för dem som tyckte att den tidigare standarden var onödig kan detta komma som en välkommen förändring.1
minska komplexiteten
NIST rekommenderar att du minimerar kraven på lösenordskomplexitet, som nödvändig inkludering av stora bokstäver, symboler och siffror. Som med frekventa policyer för lösenordsbyte kan dessa krav resultera i lösenord som minskar användbarheten och hindrar anställdas effektivitet. Att minska lösenordskomplexiteten kan vara ytterligare ett bra steg på vägen till bättre säkerhetspraxis som anställda tycker är lättare att hantera.1
skärm nya lösenord mot vanliga eller komprometterade lösenord
en vanlig säkerhetspraxis är att screena dina användares lösenord mot listor över vanliga lösenord och kända komprometterade lösenord. NIST rekommenderar att du använder programvara som kan kontrollera föreslagna lösenord mot tidigare hållna eller exponerade lösenord. Detta kommer att skydda mot hacking praxis att försöka kända lösenord i nya inställningar.1
- nya riktlinjer för lösenord från den amerikanska federala regeringen via NIST
- NIST Specialpublikation 800-63B
- de nya NIST-riktlinjerna
delning är omtänksam!