Rámec NIST pre kybernetickú bezpečnosť
Rámec kybernetickej bezpečnosti NIST, známy tiež ako „Cybersecurity kritickej infraštruktúry“, predstavuje široké usporiadanie pravidiel špecifikujúcich, ako môžu organizácie udržiavať kybernetických zločincov pod kontrolou. CSF NIST sa skladá z troch hlavných zložiek:
- Jadro: Vedie organizácie k riadeniu a znižovaniu ich rizík kybernetickej bezpečnosti.
- Úroveň implementácie: Pomáha organizáciám poskytovať informácie týkajúce sa perspektívy organizácie v oblasti riadenia rizika kybernetickej bezpečnosti.
- Profil: Jedinečná štruktúra organizácie, pokiaľ ide o jej požiadavky, ciele a zdroje.
Odporúčania
Nasledujú návrhy a odporúčania, ktoré poskytol NIST pri nedávnej revízii pokynov pre heslo.
- Dĺžka znakov: Organizácie si môžu zvoliť heslo s minimálnou dĺžkou znakov 8, ale NIST veľmi odporúča nastaviť heslo s maximálnou dĺžkou 64 znakov.
- Zabránenie neoprávnenému prístupu: V prípade, že sa neoprávnená osoba pokúsila prihlásiť do vášho účtu, odporúča sa heslo skontrolovať v prípade pokusu o odcudzenie hesla.
- Napadnuté: Keď malé organizácie alebo jednoduchí používatelia narazia na ukradnuté heslo, zvyčajne si heslo zmenia a zabudnú, čo sa stalo. NIST navrhuje, aby boli uvedené všetky heslá, ktoré boli ukradnuté pre súčasné a budúce použitie.
- Tipy: Pri výbere hesiel ignorujte rady a bezpečnostné otázky.
- Pokusy o autentifikáciu: NIST dôrazne odporúča obmedziť počet pokusov o autentifikáciu v prípade zlyhania. Počet pokusov je obmedzený a hackeri by nemohli pri prihlásení vyskúšať viac kombinácií hesiel.
- Kopírovanie a vkladanie: NIST odporúča pre uľahčenie manažérov používať možnosti vkladania v poli hesla. Napriek tomu sa v predchádzajúcich pokynoch toto zariadenie na vkladanie neodporúčalo. Správcovia hesiel používajú toto zariadenie na vkladanie, keď chcú na prístup k dostupným heslám použiť jediné hlavné heslo.
- Pravidlá zloženia: Zloženie znakov môže mať za následok nespokojnosť koncového používateľa, preto sa odporúča toto zloženie preskočiť. NIST dospel k záveru, že používateľ obvykle prejavuje nezáujem o nastavenie hesla so zložením znakov, čo jeho heslo následne oslabuje. Ak napríklad používateľ nastaví svoje heslo ako „časová os“, systém ho neakceptuje a požiada používateľa, aby použil kombináciu veľkých a malých písmen. Potom musí užívateľ zmeniť heslo podľa pravidiel kompozičnej sady nastavenej v systéme. Preto NIST navrhuje vylúčiť túto požiadavku na zloženie, pretože organizácie môžu mať nepriaznivý vplyv na bezpečnosť.
- Použitie znakov: Heslá obsahujúce medzery sa zvyčajne odmietajú, pretože sa počíta medzera, a používateľ zabudne medzery, takže si heslo ťažko zapamätá. NIST odporúča použiť ľubovoľnú kombináciu, ktorú chce používateľ, čo si možno ľahšie zapamätať a vyvolať, kedykoľvek je to potrebné.
- Zmena hesla: Časté zmeny hesiel sa väčšinou odporúčajú v protokoloch zabezpečenia organizácie alebo pre akýkoľvek druh hesla. Väčšina používateľov si zvolí ľahké a zapamätateľné heslo, ktoré bude v blízkej budúcnosti zmenené, aby zodpovedali bezpečnostným pokynom organizácií. NIST odporúča nemeniť heslo často a zvoliť si heslo, ktoré je dostatočne zložité, aby ho bolo možné dlhodobo prevádzkovať, aby vyhovovalo požiadavkám používateľa a bezpečnosti.
Čo ak dôjde k zneužitiu hesla?
Obľúbenou úlohou hackerov je prekonávať bezpečnostné bariéry. Za týmto účelom pracujú na objavovaní inovatívnych možností, cez ktoré môžu prechádzať. Porušenia bezpečnosti majú nespočetné množstvo kombinácií používateľských mien a hesiel, ktoré prelomia akúkoľvek bezpečnostnú bariéru. Väčšina organizácií má tiež zoznam hesiel prístupných hackerom, takže blokujú akýkoľvek výber hesiel zo skupiny zoznamov hesiel, ktorá je prístupná aj hackerom. Vzhľadom na rovnaké obavy, ak ktorákoľvek organizácia nemá prístup k zoznamu hesiel, poskytla NIST niektoré pokyny, ktoré môže zoznam hesiel obsahovať:
- Zoznam tých hesiel, ktoré boli predtým porušené.
- Jednoduché slová vybrané zo slovníka (napr.g., „obsahovať“, „prijaté“ atď.)
- Znaky hesla, ktoré obsahujú opakovanie, sériu alebo jednoduchú sériu (napr.g. „cccc“, „abcdef“ alebo „a1b2c3“).
Prečo sa riadiť pokynmi NIST?
Pokyny poskytnuté NIST zohľadňujú hlavné bezpečnostné hrozby spojené s hacknutím hesla pre mnoho rôznych druhov organizácií. Dobrá vec je, že ak NIST spozoruje akékoľvek porušenie bezpečnostnej bariéry spôsobené hackermi, môže revidovať svoje pokyny pre heslá tak, ako to robia od roku 2017. Na druhej strane ďalšie bezpečnostné štandardy (napr.g., HITRUST, HIPAA, PCI) neaktualizujú ani nerevidujú základné počiatočné pokyny, ktoré poskytli.