L'Institut national des normes et de la technologie (NIST) définit les paramètres de sécurité pour les institutions gouvernementales. NIST assiste les organisations pour des nécessités administratives cohérentes. Ces dernières années, NIST a révisé les directives de mot de passe. Les attaques de rachat de compte (ATO) sont devenues une entreprise enrichissante pour les cybercriminels. L'un des membres de la haute direction de NIST a exprimé son point de vue sur les directives traditionnelles, dans une interview «Produire des mots de passe qui sont faciles à deviner pour les méchants sont difficiles à deviner pour les utilisateurs légitimes.»(Https: // spycloud.com / new-nist-guidelines). Cela implique que l'art de choisir les mots de passe les plus sécurisés implique un certain nombre de facteurs humains et psychologiques. NIST a développé le cadre de cybersécurité (CSF) pour gérer et surmonter les risques de sécurité plus efficacement.
Cadre de cybersécurité NIST
Également connue sous le nom de «Critical Infrastructure Cybersecurity», le cadre de cybersécurité du NIST présente un large arrangement de règles spécifiant comment les organisations peuvent garder les cybercriminels sous contrôle. Le LCR du NIST comprend trois composantes principales:
- Cœur: Conduit les organisations à gérer et à réduire leur risque de cybersécurité.
- Tier de mise en œuvre: Aide les organisations en fournissant des informations concernant la perspective de l'organisation sur la gestion des risques de la cybersécurité.
- Profil: La structure unique de l'organisation de ses exigences, objectifs et ressources.
Recommandations
Les éléments suivants incluent les suggestions et recommandations fournies par le NIST dans leur récente révision des directives de mot de passe.
- Longueur des caractères: Les organisations peuvent choisir un mot de passe d'une longueur minimale de caractères de 8, mais il est très recommandé par NIST pour définir un mot de passe jusqu'à un maximum de 64 caractères.
- Empêcher un accès non autorisé: Dans le cas où une personne non autorisée a tenté de se connecter à votre compte, il est recommandé de réviser le mot de passe en cas de tentative de voler le mot de passe.
- Compromis: Lorsque de petites organisations ou des utilisateurs simples rencontrent un mot de passe volé, ils modifient généralement le mot de passe et oublient ce qui s'est passé. NIST suggère de répertorier tous les mots de passe volés pour une utilisation actuelle et future.
- Astuces: Ignorez les conseils et les questions de sécurité tout en choisissant des mots de passe.
- Tentes d'authentification: NIST recommande fortement de restreindre le nombre de tentatives d'authentification en cas d'échec. Le nombre de tentatives est limité, et il serait impossible pour les pirates d'essayer plusieurs combinaisons de mots de passe pour la connexion.
- Copier et coller: NIST recommande d'utiliser des installations de pâte dans le champ de mot de passe pour la facilité des gestionnaires. Contrairement à cela, dans les directives précédentes, cette installation de pâte n'a pas été recommandée. Les gestionnaires de mots de passe utilisent cette installation de pâte lorsqu'il s'agit d'utiliser un seul mot de passe maître pour entraver les mots de passe disponibles.
- Règles de composition: La composition des caractères peut entraîner une insatisfaction de l'utilisateur final, il est donc recommandé de sauter cette composition. NIST a conclu que l'utilisateur montre généralement un manque d'intérêt à configurer un mot de passe avec la composition de caractères, ce qui affaiblit en conséquence leur mot de passe. Par exemple, si l'utilisateur définit son mot de passe comme `` chronologie '', le système ne l'accepte pas et demande à l'utilisateur d'utiliser une combinaison de caractères majuscules et de caractères minuscules. Après cela, l'utilisateur doit modifier le mot de passe en suivant les règles de l'ensemble de composition dans le système. Par conséquent, NIST suggère d'exclure cette exigence de composition, car les organisations peuvent faire face à un effet défavorable sur la sécurité.
- Utilisation des caractères: Habituellement, les mots de passe contenant des espaces sont rejetés parce que l'espace est compté, et l'utilisateur oublie le ou les caractères de l'espace, ce qui rend le mot de passe difficile à mémoriser. NIST recommande d'utiliser la combinaison de l'utilisateur, ce qui peut être plus facilement mémorisé et rappelé chaque fois que vous avez besoin.
- Changement de mot de passe: Des changements fréquents dans les mots de passe sont principalement recommandés dans les protocoles de sécurité organisationnelle ou pour tout type de mot de passe. La plupart des utilisateurs choisissent un mot de passe facile et mémorable à modifier dans un avenir proche pour suivre les directives de sécurité des organisations. NIST recommande de ne pas modifier fréquemment le mot de passe et de choisir un mot de passe suffisamment complexe pour qu'il puisse être exécuté pendant longtemps pour satisfaire l'utilisateur et les exigences de sécurité.
Et si le mot de passe est compromis?
Le travail préféré des pirates est de violer les barrières de sécurité. À cette fin, ils travaillent à découvrir des possibilités innovantes pour passer. Les violations de sécurité ont d'innombrables combinaisons de noms d'utilisateur et de mots de passe pour briser toute barrière de sécurité. La plupart des organisations ont également une liste de mots de passe accessibles aux pirates, ils bloquent donc toute sélection de mots de passe à partir du pool de listes de mots de passe, qui est également accessible aux pirates. En gardant la même préoccupation, si une organisation n'est pas en mesure d'accéder à la liste des mots de passe, NIST a fourni des directives qu'une liste de mots de passe peut contenir:
- Une liste de ces mots de passe qui ont été violés précédemment.
- Mots simples sélectionnés dans le dictionnaire (e.g., 'contenir, "accepté", etc.)
- Caractères de mot de passe qui contiennent la répétition, les séries ou une série simple (e.g. 'CCCC, "ABCDEF", ou' A1B2C3 ').
Pourquoi suivre les directives du NIST?
Les lignes directrices fournies par NIST Keeping A View les principales menaces de sécurité liées aux hacks de mot de passe pour de nombreux types d'organisations. La bonne chose est que, s'ils observent une violation de la barrière de sécurité causée par les pirates, NIST peut réviser leurs directives pour les mots de passe, comme ils le font depuis 2017. D'un autre côté, d'autres normes de sécurité (e.g., HitRust, HIPAA, PCI) ne mettez pas à jour ou ne révisez pas les directives initiales de base qu'ils ont fournies.