NIST-Passwortrichtlinien

Das National Institute of Standards and Technology (NIST) definiert Sicherheitsparameter für Regierungsinstitutionen. NIST unterstützt Organisationen bei konsistenten administrativen Notwendigkeiten. In den letzten Jahren hat NIST die Passwortrichtlinien überarbeitet. Account Takeover (ATO)-Angriffe sind für Cyberkriminelle zu einem lohnenden Geschäft geworden. Eines der Mitglieder des Top-Managements von NIST drückte in einem Interview seine Ansichten zu traditionellen Richtlinien aus: "Passwörter zu erstellen, die für Bösewichte leicht zu erraten sind, sind für legitime Benutzer schwer zu erraten".“ (https://spycloud.com/new-nist-guidelines). Dies impliziert, dass die Kunst, die sichersten Passwörter zu wählen, eine Reihe von menschlichen und psychologischen Faktoren beinhaltet. NIST hat das Cybersecurity Framework (CSF) entwickelt, um Sicherheitsrisiken effektiver zu managen und zu überwinden.

NIST-Cybersicherheits-Framework

Das Cybersicherheits-Framework von NIST, auch bekannt als „Critical Infrastructure Cybersecurity“, bietet ein breites Regelwerk, das festlegt, wie Unternehmen Cyberkriminelle unter Kontrolle halten können. Der CSF von NIST besteht aus drei Hauptkomponenten:

• Ader: Führt Unternehmen bei der Verwaltung und Reduzierung ihrer Cybersicherheitsrisiken.
• Implementierungsstufe: Hilft Organisationen, indem sie Informationen über die Perspektive der Organisation zum Risikomanagement der Cybersicherheit bereitstellt.
• Profil: Die einzigartige Struktur der Organisation hinsichtlich ihrer Anforderungen, Ziele und Ressourcen.

Empfehlungen

Im Folgenden finden Sie Vorschläge und Empfehlungen von NIST in ihrer jüngsten Überarbeitung der Passwortrichtlinien.

• Zeichenlänge: Organisationen können ein Passwort mit einer Mindestlänge von 8 Zeichen wählen, NIST empfiehlt jedoch dringend, ein Passwort mit maximal 64 Zeichen festzulegen 64.
• Unberechtigten Zugriff verhindern: Falls eine nicht autorisierte Person versucht hat, sich bei Ihrem Konto anzumelden, wird empfohlen, das Passwort im Falle eines Versuchs, das Passwort zu stehlen, zu überarbeiten.
• Kompromittiert: Wenn kleine Organisationen oder einfache Benutzer auf ein gestohlenes Passwort stoßen, ändern sie normalerweise das Passwort und vergessen, was passiert ist. NIST schlägt vor, alle Passwörter aufzulisten, die für die gegenwärtige und zukünftige Verwendung gestohlen werden.
• Hinweise: Ignorieren Sie Hinweise und Sicherheitsfragen bei der Auswahl von Passwörtern.
• Authentifizierungsversuche: NIST empfiehlt dringend, die Anzahl der Authentifizierungsversuche im Fehlerfall zu beschränken. Die Anzahl der Versuche ist begrenzt und es wäre für Hacker unmöglich, mehrere Kombinationen von Passwörtern für die Anmeldung auszuprobieren.
• Kopieren und Einfügen: NIST empfiehlt, die Funktionen zum Einfügen im Passwortfeld zu verwenden, um die Manager zu vereinfachen. Im Gegensatz dazu wurde diese Pasteneinrichtung in früheren Richtlinien nicht empfohlen. Passwortmanager verwenden diese Einfügefunktion, wenn es darum geht, ein einzelnes Master-Passwort zu verwenden, um verfügbare Passwörter einzugeben.
• Kompositionsregeln: Die Zusammensetzung von Zeichen kann beim Endbenutzer zu Unzufriedenheit führen, daher wird empfohlen, diese Zusammensetzung zu überspringen. NIST kam zu dem Schluss, dass der Benutzer normalerweise kein Interesse daran zeigt, ein Passwort mit einer Zusammensetzung von Zeichen einzurichten, was sein Passwort schwächt. Wenn der Benutzer beispielsweise sein Passwort als „Zeitachse“ festlegt, akzeptiert das System es nicht und fordert den Benutzer auf, eine Kombination aus Groß- und Kleinbuchstaben zu verwenden. Danach muss der Benutzer das Passwort ändern, indem er die Regeln des Compositing-Sets im System befolgt. Daher schlägt NIST vor, diese Anforderung an die Zusammensetzung auszuschließen, da Organisationen mit negativen Auswirkungen auf die Sicherheit konfrontiert sein können.
• Verwendung von Zeichen: Normalerweise werden Passwörter mit Leerzeichen abgelehnt, weil Leerzeichen gezählt werden und der Benutzer das/die Leerzeichen vergisst, was das Auswendiglernen des Passworts erschwert. NIST empfiehlt, eine beliebige Kombination zu verwenden, die der Benutzer wünscht, die sich bei Bedarf leichter speichern und abrufen lässt.
• Passwortänderung: Häufiges Ändern von Passwörtern wird meistens in Sicherheitsprotokollen von Organisationen oder für jede Art von Passwort empfohlen. Die meisten Benutzer wählen ein einfaches und einprägsames Passwort, das in naher Zukunft geändert werden muss, um den Sicherheitsrichtlinien von Unternehmen zu entsprechen. NIST empfiehlt, das Passwort nicht häufig zu ändern und ein Passwort zu wählen, das komplex genug ist, damit es über einen langen Zeitraum ausgeführt werden kann, um den Benutzer und die Sicherheitsanforderungen zu erfüllen.

Was ist, wenn das Passwort kompromittiert ist??

Die Lieblingsaufgabe von Hackern ist es, Sicherheitsbarrieren zu durchbrechen. Zu diesem Zweck arbeiten sie daran, innovative Möglichkeiten der Durchreise zu entdecken. Sicherheitsverletzungen haben unzählige Kombinationen von Benutzernamen und Passwörtern, um jede Sicherheitsbarriere zu durchbrechen. Die meisten Organisationen haben auch eine Liste von Passwörtern, auf die Hacker zugreifen können, sodass sie jede Passwortauswahl aus dem Pool der Passwortlisten blockieren, auf die auch Hacker zugreifen können. Unter Berücksichtigung der gleichen Bedenken hat NIST einige Richtlinien bereitgestellt, die eine Passwortliste enthalten kann, wenn eine Organisation nicht auf die Passwortliste zugreifen kann:

• Eine Liste der Passwörter, die zuvor geknackt wurden.
• Einfache Wörter aus dem Wörterbuch ausgewählt (e.G., 'enthalten,'akzeptiert' usw.)
• Passwortzeichen, die Wiederholungen, Serien oder eine einfache Serie enthalten (z.G. 'cccc','abcdef' oder 'a1b2c3').

Warum die NIST-Richtlinien befolgen??

Die von NIST bereitgestellten Richtlinien berücksichtigen die wichtigsten Sicherheitsbedrohungen im Zusammenhang mit Passwort-Hacks für viele verschiedene Arten von Organisationen. Das Gute ist, dass NIST, wenn sie eine Verletzung der Sicherheitsbarriere durch Hacker beobachten, ihre Richtlinien für Passwörter überarbeiten kann, wie sie es seit 2017 tun. Andererseits sind andere Sicherheitsstandards (z.G., HITRUST, HIPAA, PCI) aktualisieren oder überarbeiten nicht die grundlegenden anfänglichen Richtlinien, die sie bereitgestellt haben.