Рекомендації щодо паролів NIST 2021 | Практичні поради щодо політики паролів

NIST Password Guidelines

Останнє опитування показало, що дві третини компаній не змінюють паролі. Аргументи цієї статистики викликають ще більше занепокоєння, оскільки більше половини співробітників уникають цього, оскільки бояться забути свої нові паролі, думають, що така практика дратує, або просто не бачать сенсу в цьому.

Здорова та надійна політика керування паролями є важливою. І компанії, і співробітники повинні розуміти важливість впровадження належних методів паролів. Національний інститут стандартів і технологій (NIST) надає рекомендації щодо паролів, які вважаються золотим стандартом загальної дотримання конфіденційності та безпеки даних у США. 

На початку цього року чиновники NIST дражнили про можливі зміни до своїх рекомендацій щодо безпеки. Маючи це на увазі, ми хочемо ознайомитися з поточними інструкціями щодо паролів NIST на 2021 рік, щоб допомогти вам розпізнати найкращі методи паролів для захисту від поточних загроз кібербезпеці.

Рекомендації щодо паролів NIST

З 2014 року Національний інститут стандартів і технологій видає інструкції, рекомендації та засоби контролю для автентифікації особи, включаючи оптимальні методи політики щодо паролів.

NIST Password Guidelines

Ці інструкції вдосконалювалися протягом багатьох років, оскільки було кілька переглядів, особливо в 2017 та 2019 роках. Інструкції NIST щодо паролів охоплюють важливі методи створення та керування паролями та вимоги до перевірки цих паролів.

Основна мета вказівок щодо паролів NIST – створити надійний захист паролів для користувачів і підприємств і суворо контролювати привілейований доступ. Ці рекомендації дозволяють організаціям і компаніям краще захистити себе від підбору облікових даних, атак грубої сили та інших спроб вторгнення. Маючи все це на увазі, давайте спочатку подивимося на застарілі рекомендації щодо паролів, а потім перейдемо до останніх рекомендацій NIST щодо паролів на 2021 рік.

Рекомендації щодо застарілих паролів

Більшість компаній застосовують застарілі методи паролів на основі набору основних критеріїв. Ці критерії зазвичай включають три основні правила безпеки паролів:

  • Примусова регулярна зміна пароля
  • Вимагати, щоб кожен новий пароль був унікальним і не використовувався раніше ні в якій формі
  • Переконайтеся, що кожен пароль є складним і складається з алфавітних (нижнього та верхнього регістрів) і цифрових символів, а також інших спеціальних символів.

Ці рекомендації широко прийняті багатьма компаніями і використовуються десятиліттями. Хоча в перерахованих вище політиках немає нічого поганого, вони недостатньо складні для підтримки сучасних вимог безпеки.

Той факт, що близько 57% людей все ще використовують ці застарілі методи, означає, що двері для фішингу і атак зловмисного програмного забезпечення все ще дуже відкриті для зловмисників. Ми звикли до застарілих рекомендацій і повинні застосувати нові методи керування паролями, щоб забезпечити максимальну безпеку. Це підводить нас до наступної важливої ​​теми.

Оновлені рекомендації щодо пароля

NIST опублікував переглянутий набір рекомендацій, які охоплюють рекомендовані методи безпеки, які найкраще застосовуються в сучасному середовищі. Ця тема вимагає окремої статті, тому ми не будемо вдаватися в усі дрібні деталі. Тим не менш, ми хочемо уважно ознайомитися з останніми рекомендаціями щодо паролів, які стосуються існуючих методів безпеки:

Алфавитно-цифрові символи

NIST Password Guidelines

Здається, що система алфавітно-цифрових паролів існує ще з самих паролів. Поєднання малих і великих літер з цифрами та спеціальними символами, щоб зробити пароль «надійнішим», є практикою, яку сьогодні використовує майже кожна система безпеки.

Однак у рекомендаціях щодо паролів NIST зазначено, що ця система не обов’язково створює надійніші та безпечніші паролі

Нові рекомендації щодо паролів NIST підкреслюють більш динамічну систему, в якій користувачі створюють свої паролі, порівнюючи свої нові паролі зі слабкими паролями та тими, які призвели до витоку.

Довжина пароля

Поточна практика полягає в тому, що паролі мають бути приблизно від 8 до 10 символів. Це один із важливих аспектів, які потребують змін, оскільки інструкції NIST щодо паролів рекомендують дозволяти паролі з принаймні 64 символів.

Наявність такого довгого пароля може здатися незручністю. Однак запам’ятати унікальне речення як пароль набагато простіше, ніж використовувати безглузде речення, що складається з випадкових чисел і символів.

Підказки щодо пароля

"Як звали улюбленця вашого дитинства?" та «Ім’я вашого першого вчителя» — це щоденні підказки щодо пароля, які користувачі використовують, коли їм потрібно відновити забутий пароль. Однак якість цих підказок для паролів часто залишає бажати кращого, особливо в сучасну епоху надмірно експонованих соціальних мереж.

Нові вказівки щодо паролів NIST рекомендують користувачам уникати підказок щодо паролів. Замість цього вони повинні використовувати багатофакторну автентифікацію як більш розширений і безпечний метод захисту пароля.

Ви можете налаштувати MFA, щоб ідентифікувати вас на основі вашого відбитка пальця, цифрового сертифіката, апаратного токена, місцезнаходження, часу та багато іншого. Це крок безпеки, який набагато важче зламати і значно знижує ризик витоку ваших даних.

Примусова зміна пароля

Нові вказівки щодо паролів NIST зменшують значення запланованих примусових змін паролів. Вони підтримують цю позицію, стверджуючи, що слабкість користувача шукати шаблони паролів, наприклад, зміна лише кількох цифр або перемикання символів, послаблює пароль і робить зміну не настільки значною, як вона має бути. Крім того, якщо хакери вже володіють інформацією користувача, а користувач лише незначно змінює існуючий пароль, примусова зміна пароля безглузда.

Копіювання та вставка паролів

Дивно, але NIST повністю змінив свою точку зору з моменту останньої редакції. Інститут раніше був категорично проти включення функцій копіювання/вставки під час введення паролів. Однак нові рекомендації мають на меті скасувати цю рекомендацію.

Мірунування цієї зміни рекомендації полягає в тому, що необхідність копіювати та вставляти складні паролі лише спонукатиме співробітників не використовувати простіші паролі, а перейти до менеджерів паролів. Ці менеджери паролів дозволять їм випадковим чином генерувати та зберігати паролі для зручного використання без шкоди для їх безпеки.

Важливість менеджерів паролів та 2FA

NIST Password Guidelines

Найкращий спосіб забезпечити максимальну конфіденційність і безпеку ваших паролів - це застосувати дві методики: використовувати менеджер паролів і використовувати 2-факторну аутентифікацію. Що стосується останнього, всі погоджуються, що використання 2-факторної аутентифікації додає дуже сильний рівень безпеки до вашої інформації. Усі експерти погоджуються, що безпарольні логіни – це шлях майбутнього. Це лише питання часу, коли компанії застосують цей метод аутентифікації.

Однак, коли справа доходить до менеджерів паролів, тут експерти потрапляють на роздоріжжя. Для деяких менеджери паролів є необхідним і дуже зручним інструментом для забезпечення конфіденційності та безпеки. Для інших вони є лише інструментом для маскування загальної проблеми, зберігаючи паролі під іншим паролем.

Це тому, що важко знайти генератори паролів NIST, які відповідають усім стандартам і вимогам.Найкраще, що ви можете зробити, це знайти надійний і безпечний генератор паролів і менеджер, щоб захистити ваші цінні дані від потрапляння в чужі руки

З цієї причини використання компактних багатофункціональних клавіш з підтримкою Bluetooth, таких як Hideez Key 3 або Hideez Key 4 є простим і елегантним рішенням для вашого пароля потреби управління. Він дозволяє зберігати до 2000 облікових даних і паролів в апаратному сховищі. Крім того, він служить багатофункціональним ключем безпеки, який допомагає генерувати унікальні та надійні паролі та одноразові паролі для багатофакторної автентифікації.

Найприємніше те, що таке рішення керування паролями може бути реалізовано не лише для особистих потреб, але й для використання підприємствами, пропонуючи багато інших цінних функцій, які ідеально підходять для багатокористувацького середовища. Щоб дізнатися більше, зв’яжіться з нами або подайте запит на безкоштовний персоналізований пілот:

.