Diretrizes de senha NIST

O Instituto Nacional de Padrões e Tecnologia (NIST) define parâmetros de segurança para instituições governamentais. NIST auxilia organizações para necessidades administrativas consistentes. Nos últimos anos, o NIST revisou as diretrizes de senha. Ataques de controle de conta (ATO) tornaram-se um negócio gratificante para os cibercriminosos. Um dos membros da alta administração do NIST expressou sua opinião sobre as diretrizes tradicionais, em uma entrevista “produzir senhas fáceis de adivinhar para bandidos são difíceis de adivinhar para usuários legítimos.”(Https: // spycloud.com / new-nist-guidelines). Isso implica que a arte de escolher as senhas mais seguras envolve uma série de fatores humanos e psicológicos. O NIST desenvolveu o Cybersecurity Framework (CSF) para gerenciar e superar os riscos de segurança de forma mais eficaz.

Estrutura de segurança cibernética do NIST

Também conhecido como "Cibersegurança de infraestrutura crítica", a estrutura de segurança cibernética do NIST apresenta um amplo arranjo de regras que especificam como as organizações podem manter os criminosos cibernéticos sob controle. O CSF do NIST é composto por três componentes principais:

• Testemunho: Leva as organizações a gerenciar e reduzir o risco de segurança cibernética.
• Camada de implementação: Ajuda as organizações, fornecendo informações sobre a perspectiva da organização sobre o gerenciamento de riscos da segurança cibernética.
• Perfil: Estrutura única da organização de seus requisitos, objetivos e recursos.

Recomendações

O seguinte inclui sugestões e recomendações fornecidas pelo NIST em sua recente revisão das diretrizes de senha.

• Comprimento dos caracteres: As organizações podem escolher uma senha de no mínimo 8 caracteres, mas é altamente recomendado pelo NIST definir uma senha de no máximo 64 caracteres.
• Prevenindo o acesso não autorizado: No caso de uma pessoa não autorizada tentar fazer login em sua conta, é recomendável revisar a senha em caso de tentativa de roubo.
• Comprometido: Quando pequenas organizações ou usuários simples encontram uma senha roubada, eles geralmente mudam a senha e esquecem o que aconteceu. O NIST sugere listar todas as senhas que são roubadas para uso presente e futuro.
• Dicas: Ignore dicas e perguntas de segurança ao escolher as senhas.
• Tentativas de autenticação: O NIST recomenda fortemente restringir o número de tentativas de autenticação em caso de falha. O número de tentativas é limitado e seria impossível para os hackers tentarem várias combinações de senhas para login.
• Copiar e colar: O NIST recomenda o uso de recursos de colagem no campo de senha para a facilidade dos gerentes. Ao contrário disso, nas orientações anteriores, esta facilidade de colagem não era recomendada. Os gerenciadores de senha usam este recurso de colar quando se trata de usar uma única senha mestra para inserir as senhas disponíveis.
• Regras de composição: A composição de caracteres pode resultar em insatisfação do usuário final, por isso é recomendável pular esta composição. O NIST concluiu que o usuário geralmente mostra falta de interesse em configurar uma senha com composição de caracteres, o que consequentemente enfraquece sua senha. Por exemplo, se o usuário definir sua senha como 'linha do tempo', o sistema não a aceitará e solicitará que o usuário use uma combinação de letras maiúsculas e minúsculas. Depois disso, o usuário deve alterar a senha seguindo as regras do conjunto de composição no sistema. Portanto, o NIST sugere descartar este requisito de composição, pois as organizações podem enfrentar um efeito desfavorável na segurança.
• Uso de personagens: Normalmente, as senhas que contêm espaços são rejeitadas porque o espaço é contado e o usuário esquece o (s) caractere (s) de espaço, tornando a senha difícil de memorizar. O NIST recomenda o uso de qualquer combinação que o usuário desejar, que pode ser mais facilmente memorizada e recuperada sempre que necessário.
• Mudança de senha: Mudanças frequentes de senhas são recomendadas principalmente em protocolos de segurança organizacional ou para qualquer tipo de senha. A maioria dos usuários escolhe uma senha fácil de memorizar para ser alterada em um futuro próximo para seguir as diretrizes de segurança das organizações. O NIST recomenda não alterar a senha com freqüência e escolher uma senha que seja complexa o suficiente para que possa ser executada por um longo tempo para satisfazer o usuário e os requisitos de segurança.

E se a senha estiver comprometida?

O trabalho favorito dos hackers é quebrar as barreiras de segurança. Para isso, trabalham para descobrir possibilidades inovadoras de passar por. As violações de segurança têm inúmeras combinações de nomes de usuário e senhas para quebrar qualquer barreira de segurança. A maioria das organizações também tem uma lista de senhas acessíveis a hackers, portanto, bloqueiam qualquer seleção de senha do pool de listas de senhas, que também é acessível a hackers. Tendo em vista a mesma preocupação, se alguma organização não conseguir acessar a lista de senhas, o NIST forneceu algumas diretrizes que uma lista de senhas pode conter:

• Uma lista das senhas que foram violadas anteriormente.
• Palavras simples selecionadas do dicionário (e.g., 'conter,' aceito 'etc.)
• Caracteres de senha que contêm repetição, série ou uma série simples (e.g. 'cccc, "abcdef,' ou 'a1b2c3').

Por que seguir as diretrizes do NIST?

As diretrizes fornecidas pelo NIST consideram as principais ameaças à segurança relacionadas a hacks de senha para muitos tipos diferentes de organizações. O bom é que, caso observe alguma violação da barreira de segurança causada por hackers, o NIST pode revisar suas diretrizes para senhas, como vem fazendo desde 2017. Por outro lado, outros padrões de segurança (e.g., HITRUST, HIPAA, PCI) não atualizam ou revisam as diretrizes básicas iniciais que forneceram.