Търсене
Close this search box.

Според последните насоки на NIST не е необходимо паролите да се сменят всяка година, а три произволни думи са по-добри от много символи.

Паролите са на път да отпаднат от години – и това не е изненада. Сами по себе си паролите са несъвършено средство за сигурност, отчасти защото хората често избират слаби идентификационни данни и ги повтарят в различни услуги.

В корпоративния сценарий това е особено проблематично, когато се съчетае с ИТ политики, които изискват редовна смяна на паролите. Именно с оглед на това нагласите започват да се променят.

Според новите насоки на Националния институт за стандарти и технологии (NIST) на САЩ вече не е необходимо паролите да се сменят всяка година, а три произволни думи могат да бъдат по-добри от много символи.

Последното ръководство на NIST, подкрепено от Националния център за киберсигурност (NCSC) и Microsoft, насърчава преминаването към простота и използваемост. Както NIST, така и NCSC сега препоръчват да се използват запомнящи се пароли, а не дълги и сложни низове.

В тези насоки също така силно се препоръчва многофакторно удостоверяване (MFA), за да се засили сигурността извън паролите.

Като се има предвид това, как фирмите да създадат сигурна политика за паролите?

Проблеми, свързани със слабите пароли

В актуализираните насоки на NIST се разглеждат няколко проблема с паролите, които излагат на риск сигурността на потребителите и предприятията.

Много по-стари политики за пароли налагат правила за сложност. Те са „очевидно лоша идея“, казва Джеф Уоткинс, главен технологичен директор в CreateFuture. „Първо, те често ограничават паролата, намалявайки пространството за търсене на разбиване, и второ, те не са много удобни за човека.

„Това води до това, че хората използват механизми за справяне, при които заместванията всъщност не добавят истинска сложност. Освен това трудността при създаването и използването на сложна парола насърчава потребителите да прибягват до по-кратки такива.“

Междувременно честата смяна на паролите също може да доведе до предсказуеми, по-слаби пароли, казват експертите.

Когато потребителите са принудени често да сменят паролите си, те са склонни да създават по-прости удостоверения, които лесно могат да запомнят, казва Джошуа Уолш, специалист по информационна сигурност, част от екипа специалисти по кибернетично право, право на данните и информационно право в rradar. Това води до „малки, предвидими промени“ в предишната им парола, като например преминаване от „Парола1!“ към „Парола2!“, казва той.

Тези модели са лесно отгатваеми от хакерите: „Всъщност те не осигуряват осезаеми ползи за сигурността – казва Уолш. „Честите промени могат също така да предизвикат разочарование у потребителите и да увеличат вероятността за повторно използване на паролата в различни платформи, което увеличава общия риск и въздействието на компрометирането.“

Това може да направи организациите по-отворени към атаки, включващи използването на слаби или повторно използвани идентификационни данни. Хакерите използват различни техники, като атаки с груба сила, фишинг и пълнене на пълномощни, за да използват слаби или откраднати пароли, казва Уолш.

Противниците използват автоматизирани инструменти за отгатване на пароли или използват изтекли данни от предишни пробиви, за да получат достъп до бизнес акаунти. „След като хакерите получат достъп, те могат да увеличат привилегиите си, да откраднат чувствителни данни, да инсталират вреден софтуер, като например рансъмуер, или да причинят други щети, които могат да доведат до финансови загуби, увреждане на репутацията и регулаторни глоби“, предупреждава Уолш.

Идеалната политика за сигурна парола

Целта на NIST и други организации като NCSC е да се намалят несигурните практики, като се направят по-добри за потребителите политики за пароли. Последният съвет да се използват пароли или поредици от думи е „много по-удобен за хората“, казва Уоткинс. „Паролата „лъскав жълт мотоциклет“ е по-запомняща се за хората от „1@£!!ej)_asjD“, като в същото време е и по-дълга.“

Така че, за да се възползват от съветите на NCSC и NIST, фирмите трябва да създадат политика за пароли, която да постига баланс между сигурността и удобството за ползване, казва Адам Сиймънс, ръководител на отдела за информационна сигурност в GRC International Group. „По този начин организациите могат да отговорят на нуждите за сигурност, без да претоварват потребителите, което увеличава вероятността политиките да бъдат спазвани.“

Като част от това, една политика за сигурна парола трябва да насърчава запомнящи се пароли, като например три произволни думи. „Трябва силно да се насърчават паролите с минимална дължина от поне 15 символа“, казва Уоткинс.

В същото време не поставяйте максимална стойност, съветва той. „Някои мениджъри на пароли създават много дълги такива, без правила за символна сложност. Не насилвайте или не забранявайте използването на специални символи,

Избягвайте обаче да налагате прекалено сложни правила за съставяне, тъй като те често могат да доведат до несигурни практики, включително повторно използване на пароли, казва Уолш.

Организациите трябва да изискват смяна на паролата само при конкретна нужда от сигурност, например след пробив, и да използват MFA, за да „добавят критично ниво на сигурност, допълващо паролата“, казва Сиймънс.

Постоянното обучение за повишаване на осведомеността също е важно, казва Сиймънс. „Обучавайте потребителите за значението на уникалните пароли и как да разпознават опитите за фишинг“.

Като бонус, ако искате да направите услугите си наистина удобни за потребителите, уверете се, че копирането и поставянето е разрешено, и разрешете използването на „покажи паролата“ от съображения за достъпност, казва Уоткинс. Освен това NIST препоръчва да използвате решение за управление на пароли, казва той. „Те значително улесняват управлението на множество идентификационни данни от страна на потребителя и силно възпрепятстват повторното използване на пароли в различни платформи.“

MFA: удостоверяване на автентичността отвъд паролите

Широко разпространено е разбирането, че в днешната все по-свързана среда паролите не са достатъчни за защита на услугите. Силните пароли са важни, но винаги има вероятност някой да получи достъп до потребителски акаунти.

Ето къде идва ролята на MFA. „MFA добавя допълнително ниво на сигурност, като изисква допълнителни стъпки за проверка, например биометрични данни или еднократни кодове, повишавайки сигурността отвъд обикновените пароли“, казва Уолш.

Една надеждна форма на удостоверяване е ключът за сигурност. „Устойчивата на фишинг MFA с ключове за сигурност, като например хардуерните ключове за сигурност, може да спре отдалечените атаки, като изисква нещо, което знаете – парола – и нещо, което имате – ключ за сигурност – да се постави в устройството и физически да се докосне, за да получите достъп до акаунтите“, казва Найл Макконъчи, регионален директор за Великобритания и Ирландия в Yubico.

Интегрирането на MFA в политиката ви намалява зависимостта само от пароли. То също така намалява риска от неоторизиран достъп, дори ако хакерите са в състояние да отгатнат или да използват груба сила за удостоверяване на данните на хората.

„Изискването на множество фактори означава, че дори ако паролата е компрометирана, системата остава защитена“, казва Сиймънс. „PCI DSS 4.0 изисква MFA за чувствителни среди, а ангажиментът на Microsoft за сигурност без парола отразява прехода към по-сигурни и удобни за потребителя алтернативи.“

Източник: itpro.co.uk

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
Бъдете социални
Още по темата
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
12/12/2024

Изследователи разбиват Micr...

Изследователи разбиха метод за многофакторно удостоверяване...
12/12/2024

Пионерът в симетричната кри...

Бъдещето, в което се използват квантови...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!