Diretrizes de senha do NIST

O Instituto Nacional de Padrões e Tecnologia (NIST) define parâmetros de segurança para instituições governamentais. O NIST auxilia as organizações para necessidades administrativas consistentes. Nos últimos anos, o NIST revisou as diretrizes de senha. Os ataques de aquisição da conta (ATO) tornaram -se um negócio gratificante para os cibercriminosos. Um dos membros da alta gerência do NIST expressou suas opiniões sobre as diretrizes tradicionais, em uma entrevista “Produzindo senhas que são fáceis de adivinhar para os bandidos são difíceis de adivinhar para usuários legítimos.”(Https: // spycloud.com/new-nist-guidelines). Isso implica que a arte de escolher as senhas mais seguras envolve vários fatores humanos e psicológicos. O NIST desenvolveu a estrutura de segurança cibernética (LCR) para gerenciar e superar os riscos de segurança com mais eficácia.

Estrutura de segurança cibernética do NIST

Também conhecida como "infraestrutura crítica de segurança cibernética", a estrutura de segurança cibernética do NIST apresenta um amplo arranjo de regras, especificando como as organizações podem manter os cibercriminosos sob controle. O CSF do NIST é composto por três componentes principais:

• Essencial: Lidera as organizações a gerenciar e reduzir seu risco de segurança cibernética.
• Nível de implementação: Ajuda as organizações, fornecendo informações sobre a perspectiva da organização sobre o gerenciamento de riscos de segurança cibernética.
• Perfil: Estrutura exclusiva da organização de seus requisitos, objetivos e recursos.

Recomendações

Os seguintes incluem sugestões e recomendações fornecidas pelo NIST em sua recente revisão de diretrizes de senha.

• Comprimento dos personagens: As organizações podem escolher uma senha de um comprimento mínimo do caractere de 8, mas é recomendado pelo NIST para definir uma senha de até um máximo de 64 caracteres.
• Prevenção de acesso não autorizado: No caso de uma pessoa não autorizada tentou fazer login em sua conta, é recomendável revisar a senha em caso de tentativa de roubar a senha.
• Comprometido: Quando pequenas organizações ou usuários simples encontram uma senha roubada, eles geralmente alteram a senha e esquecem o que aconteceu. O NIST sugere listar todas essas senhas que são roubadas para uso presente e futuro.
• Dicas: Ignore dicas e perguntas de segurança ao escolher senhas.
• Tentativas de autenticação: O NIST recomenda fortemente restringir o número de tentativas de autenticação em caso de falha. O número de tentativas é limitado e seria impossível para os hackers experimentar várias combinações de senhas para login.
• Copiar e colar: O NIST recomenda usar instalações de pasta no campo de senha para a facilidade de gerentes. Ao contrário disso, em diretrizes anteriores, esta instalação de pasta não foi recomendada. Os gerentes de senha usam esta instalação de pasta quando se trata de usar uma única senha mestre para ingressar em senhas disponíveis.
• Regras de composição: A composição dos caracteres pode resultar em insatisfação pelo usuário final, por isso é recomendável pular esta composição. O NIST concluiu que o usuário geralmente mostra uma falta de interesse em configurar uma senha com a composição de caracteres, o que resulta em sua senha. Por exemplo, se o usuário definir sua senha como 'Linha do tempo', o sistema não a aceita e pedir ao usuário que use uma combinação de caracteres maiúsculos e minúsculos. Depois disso, o usuário deve alterar a senha seguindo as regras da composição definida no sistema. Portanto, o NIST sugere descartar esse requisito de composição, pois as organizações podem enfrentar um efeito desfavorável na segurança.
• Uso de caracteres: Geralmente, as senhas que contêm espaços são rejeitadas porque o espaço é contado e o usuário esquece o (s) personagem (s) do espaço, dificultando a memorização da senha. O NIST recomenda usar qualquer combinação que o usuário queira, que pode ser mais facilmente memorizado e lembrado sempre que necessário.
• Mudança de senha: Alterações frequentes nas senhas são recomendadas principalmente em protocolos de segurança organizacional ou para qualquer tipo de senha. A maioria dos usuários escolhe uma senha fácil e memorizável a ser alterada em um futuro próximo para seguir as diretrizes de segurança das organizações. O NIST recomenda não alterar a senha com frequência e escolher uma senha que seja complexa o suficiente para que possa ser executada por um longo tempo para satisfazer o usuário e os requisitos de segurança.

E se a senha estiver comprometida?

O trabalho favorito dos hackers é violar as barreiras de segurança. Para esse fim, eles trabalham para descobrir possibilidades inovadoras para passar. As violações de segurança têm inúmeras combinações de nomes de usuário e senhas para quebrar qualquer barreira de segurança. A maioria das organizações também possui uma lista de senhas acessíveis a hackers, para que bloqueie qualquer seleção de senha do pool de listas de senhas, que também é acessível a hackers. Tendo em vista a mesma preocupação, se alguma organização não puder acessar a lista de senhas, o NIST forneceu algumas diretrizes que uma lista de senhas pode conter:

• Uma lista das senhas que foram violadas anteriormente.
• Palavras simples selecionadas do dicionário (e.g., 'contém, "aceito", etc.)
• Caracteres de senha que contêm repetição, série ou uma série simples (e.g. 'CCCC, "ABCDEF" ou' A1B2C3 ').

Por que seguir as diretrizes do NIST?

As diretrizes fornecidas pelo NIST mantêm em vista as principais ameaças de segurança relacionadas a hacks de senha para muitos tipos diferentes de organizações. O bom é que, se eles observarem qualquer violação da barreira de segurança causada por hackers, o NIST pode revisar suas diretrizes para senhas, como fazem desde 2017. Por outro lado, outros padrões de segurança (e.g., Hitrust, hipaa, PCI) não atualiza ou revisa as diretrizes iniciais básicas que eles forneceram.