El Instituto Nacional de Normas y Tecnología (NIST) define los parámetros de seguridad para las instituciones gubernamentales. NIST ayuda a las organizaciones para necesidades administrativas consistentes. En los últimos años, NIST ha revisado las pautas de contraseña. Los ataques de adquisición de cuentas (ATO) se han convertido en un negocio gratificante para los ciberdelincuentes. Uno de los miembros de la alta dirección de NIST expresó sus puntos de vista sobre las pautas tradicionales, en una entrevista "Producir contraseñas que son fáciles de adivinar para los malos son difíciles de adivinar para los usuarios legítimos.”(Https: // spycloud.com/nueva-nist-GuidElines). Esto implica que el arte de elegir las contraseñas más seguras implica una serie de factores humanos y psicológicos. NIST ha desarrollado el Marco de Ciberseguridad (CSF) para administrar y superar los riesgos de seguridad de manera más efectiva.
Marco de ciberseguridad NIST
También conocido como "ciberseguridad de infraestructura crítica", el marco de ciberseguridad de NIST presenta una amplia disposición de reglas que especifican cómo las organizaciones pueden mantener los ciberdelincuentes bajo control. El CSF de NIST comprende tres componentes principales:
- Centro: Lleva a las organizaciones a administrar y reducir su riesgo de ciberseguridad.
- Nivel de implementación: Ayuda a las organizaciones proporcionando información sobre la perspectiva de la organización sobre la gestión de riesgos de la ciberseguridad.
- Perfil: La estructura única de la organización de sus requisitos, objetivos y recursos.
Recomendaciones
Lo siguiente incluye sugerencias y recomendaciones proporcionadas por NIST en su reciente revisión de las pautas de contraseña.
- Longitud de los caracteres: Las organizaciones pueden elegir una contraseña de una longitud mínima del personaje de 8, pero NIST lo recomienda establecer una contraseña de hasta un máximo de 64 caracteres.
- Prevención de acceso no autorizado: En el caso de que una persona no autorizada haya intentado iniciar sesión en su cuenta, se recomienda revisar la contraseña en caso de intento de robar la contraseña.
- Comprometida: Cuando pequeñas organizaciones o usuarios simples encuentran una contraseña robada, generalmente cambian la contraseña y olvidan lo que sucedió. NIST sugiere enumerar todas las contraseñas que son robadas para uso presente y futuro.
- Sugerencias: Ignorar pistas y preguntas de seguridad al elegir contraseñas.
- Intentos de autenticación: NIST recomienda encarecidamente restringir el número de intentos de autenticación en caso de falla. El número de intentos es limitado, y sería imposible para los hackers probar múltiples combinaciones de contraseñas para iniciar sesión.
- Copiar y pegar: NIST recomienda usar instalaciones de pegar en el campo de contraseña para la facilidad de los gerentes. Contrariamente a eso, en las pautas anteriores, no se recomendó esta instalación de pasta. Los administradores de contraseñas usan esta instalación de pegar cuando se trata de usar una sola contraseña maestra para ingresar contraseñas disponibles.
- Reglas de composición: La composición de los caracteres puede dar lugar a la insatisfacción del usuario final, por lo que se recomienda omitir esta composición. NIST concluyó que el usuario generalmente muestra una falta de interés en configurar una contraseña con la composición de los caracteres, lo que debilita su contraseña. Por ejemplo, si el usuario establece su contraseña como 'línea de tiempo', el sistema no la acepta y le pide al usuario que use una combinación de caracteres en mayúsculas y minúsculas. Después de eso, el usuario debe cambiar la contraseña siguiendo las reglas del conjunto de composición en el sistema. Por lo tanto, NIST sugiere descartar este requisito de composición, ya que las organizaciones pueden enfrentar un efecto desfavorable en la seguridad.
- Uso de personajes: Por lo general, las contraseñas que contienen espacios se rechazan porque se cuenta el espacio, y el usuario olvida los cargos espaciales, lo que dificulta la contraseña de memorizar. NIST recomienda usar cualquier combinación que el usuario desee, que se pueda memorizar y recuperar más fácilmente cuando sea necesario.
- Cambio de contraseña: Los cambios frecuentes en las contraseñas se recomiendan principalmente en protocolos de seguridad organizacionales o para cualquier tipo de contraseña. La mayoría de los usuarios eligen una contraseña fácil y memoizable que se cambiará en el futuro cercano para seguir las pautas de seguridad de las organizaciones. NIST recomienda no cambiar la contraseña con frecuencia y elegir una contraseña que sea lo suficientemente compleja como para que pueda ejecutarse durante mucho tiempo para satisfacer al usuario y los requisitos de seguridad.
¿Qué pasa si la contraseña está comprometida??
El trabajo favorito de los piratas informáticos es violar las barreras de seguridad. Para ese propósito, trabajan para descubrir posibilidades innovadoras para pasar. Las violaciones de seguridad tienen innumerables combinaciones de nombres de usuario y contraseñas para romper cualquier barrera de seguridad. La mayoría de las organizaciones también tienen una lista de contraseñas accesibles para los piratas informáticos, por lo que bloquean cualquier selección de contraseñas del grupo de listas de contraseñas, a las que también es accesible para los hackers. Teniendo en cuenta la misma preocupación, si alguna organización no puede acceder a la lista de contraseñas, NIST ha proporcionado algunas pautas que una lista de contraseñas puede contener:
- Una lista de esas contraseñas que se han violado anteriormente.
- Palabras simples seleccionadas del diccionario (E.gramo., 'contener ", aceptado, etc.)
- Caracteres de contraseña que contienen repetición, serie o una serie simple (e.gramo. 'CCCC, "ABCDEF, o' A1B2C3 ').
¿Por qué seguir las pautas de NIST??
Las pautas proporcionadas por NIST mantienen en la vista las principales amenazas de seguridad relacionadas con los hacks de contraseña para muchos tipos diferentes de organizaciones. Lo bueno es que, si observan alguna violación de la barrera de seguridad causada por los piratas informáticos, NIST puede revisar sus pautas para las contraseñas, como lo han estado haciendo desde 2017. Por otro lado, otros estándares de seguridad (e.gramo., HITRUST, HIPAA, PCI) no actualizan ni revisen las pautas iniciales básicas que han proporcionado.