NIST-wachtwoordrichtlijnen

Het National Institute of Standards and Technology (NIST) definieert beveiligingsparameters voor overheidsinstellingen. NIST helpt organisaties bij consistente administratieve behoeften. In de afgelopen jaren heeft NIST de wachtwoordrichtlijnen herzien. Account Takeover (ATO)-aanvallen zijn een lonende bezigheid geworden voor cybercriminelen. Een van de leden van het topmanagement van NIST gaf zijn mening over traditionele richtlijnen, in een interview "het produceren van wachtwoorden die gemakkelijk te raden zijn voor slechteriken, moeilijk te raden voor legitieme gebruikers.” (https://spycloud.com/nieuwe-nist-richtlijnen). Dit houdt in dat de kunst van het kiezen van de meest veilige wachtwoorden een aantal menselijke en psychologische factoren met zich meebrengt. NIST heeft het Cybersecurity Framework (CSF) ontwikkeld om beveiligingsrisico's effectiever te beheren en te overwinnen.

NIST-kader voor cyberbeveiliging

Het cyberbeveiligingsraamwerk van NIST, ook wel bekend als 'Critical Infrastructure Cybersecurity', presenteert een brede regeling van regels die specificeren hoe organisaties cybercriminelen onder controle kunnen houden. De CSF van NIST bestaat uit drie hoofdcomponenten:

• Kern: Leidt organisaties om hun cyberbeveiligingsrisico te beheren en te verminderen.
• Implementatielaag: Helpt organisaties door informatie te verstrekken over het perspectief van de organisatie op risicobeheer van cyberbeveiliging.
• Profiel: De unieke structuur van de organisatie van haar vereisten, doelstellingen en middelen.

Aanbevelingen

Het volgende bevat suggesties en aanbevelingen van NIST in hun recente herziening van wachtwoordrichtlijnen:.

• Karakters Lengte: Organisaties kunnen een wachtwoord kiezen van minimaal 8 tekens, maar het wordt sterk aanbevolen door NIST om een ​​wachtwoord in te stellen van maximaal 64 tekens.
• Ongeautoriseerde toegang voorkomen: In het geval dat een onbevoegd persoon heeft geprobeerd in te loggen op uw account, is het raadzaam om het wachtwoord te herzien in geval van een poging om het wachtwoord te stelen.
• Aangetast: Wanneer kleine organisaties of eenvoudige gebruikers een gestolen wachtwoord tegenkomen, veranderen ze meestal het wachtwoord en vergeten ze wat er is gebeurd. NIST stelt voor om al die wachtwoorden op te sommen die zijn gestolen voor huidig ​​en toekomstig gebruik.
• tips: Negeer hints en beveiligingsvragen bij het kiezen van wachtwoorden.
• Verificatiepogingen: NIST raadt ten zeerste aan om het aantal authenticatiepogingen te beperken in geval van mislukking. Het aantal pogingen is beperkt en het zou voor hackers onmogelijk zijn om meerdere combinaties van wachtwoorden te proberen om in te loggen.
• Knippen en plakken: NIST raadt aan om plakfaciliteiten in het wachtwoordveld te gebruiken voor het gemak van managers. In tegenstelling daarmee werd deze plakfaciliteit in eerdere richtlijnen niet aanbevolen. Wachtwoordmanagers gebruiken deze plakfunctie als het gaat om het gebruik van een enkel hoofdwachtwoord om beschikbare wachtwoorden binnen te dringen.
• Samenstelling Regels: Compositie van karakters kan leiden tot ontevredenheid bij de eindgebruiker, dus het wordt aanbevolen om deze compositie over te slaan. NIST concludeerde dat de gebruiker meestal een gebrek aan interesse toont in het opzetten van een wachtwoord met een samenstelling van karakters, wat resulteert in een zwakker wachtwoord. Als de gebruiker bijvoorbeeld zijn wachtwoord instelt als 'tijdlijn', accepteert het systeem het niet en vraagt ​​het de gebruiker om een ​​combinatie van hoofdletters en kleine letters te gebruiken. Daarna moet de gebruiker het wachtwoord wijzigen volgens de regels van de compositieset in het systeem. Daarom stelt NIST voor om deze vereiste van samenstelling uit te sluiten, aangezien organisaties te maken kunnen krijgen met een ongunstig effect op de beveiliging.
• Gebruik van karakters: Gewoonlijk worden wachtwoorden die spaties bevatten afgewezen omdat de spatie wordt geteld en de gebruiker de spatieteken(s) vergeet, waardoor het wachtwoord moeilijk te onthouden is. NIST raadt aan om elke gewenste combinatie te gebruiken, die gemakkelijker kan worden onthouden en wanneer nodig kan worden opgeroepen.
• Wachtwoord verandering: Frequente wijzigingen in wachtwoorden worden meestal aanbevolen in beveiligingsprotocollen van organisaties of voor elk soort wachtwoord. De meeste gebruikers kiezen een eenvoudig en te onthouden wachtwoord dat in de nabije toekomst moet worden gewijzigd om de beveiligingsrichtlijnen van organisaties te volgen. NIST raadt aan om het wachtwoord niet vaak te wijzigen en een wachtwoord te kiezen dat complex genoeg is zodat het lange tijd kan worden gebruikt om te voldoen aan de gebruiker en de beveiligingsvereisten.

Wat als het wachtwoord gecompromitteerd is??

De favoriete taak van hackers is het doorbreken van beveiligingsbarrières. Daartoe zoeken ze naar innovatieve mogelijkheden om door te komen. Beveiligingsinbreuken hebben talloze combinaties van gebruikersnamen en wachtwoorden om elke beveiligingsbarrière te doorbreken. De meeste organisaties hebben ook een lijst met wachtwoorden die toegankelijk zijn voor hackers, dus ze blokkeren elke wachtwoordselectie uit de pool van wachtwoordlijsten, die ook toegankelijk is voor hackers. Met dezelfde zorg in het achterhoofd, als een organisatie geen toegang heeft tot de wachtwoordlijst, heeft NIST enkele richtlijnen gegeven die een wachtwoordlijst kan bevatten:

• Een lijst met wachtwoorden die eerder zijn gehackt.
• Eenvoudige woorden geselecteerd uit het woordenboek (e.g., 'bevatten', 'aanvaard', enz.)
• Wachtwoordtekens die herhaling, reeksen of een eenvoudige reeks bevatten (e.g. 'cccc', 'abcdef' of 'a1b2c3').

Waarom de NIST-richtlijnen volgen??

De richtlijnen van NIST houden de belangrijkste beveiligingsrisico's met betrekking tot wachtwoordhacks voor veel verschillende soorten organisaties in het oog. Het goede ding is dat, als ze een schending van de beveiligingsbarrière door hackers waarnemen, NIST hun richtlijnen voor wachtwoorden kan herzien, zoals ze sinds 2017 doen. Aan de andere kant zijn andere beveiligingsstandaarden (e.g., HITRUST, HIPAA, PCI) de basisrichtlijnen die ze hebben verstrekt niet bijwerken of herzien not.