许多用户在不知情的情况下创建了弱密码,或者由于习惯错误地使用了密码, 让他们的数据和账户容易被攻破. 为了解决这个漏洞, 美国国家标准与技术研究院(NIST)为制作强密码和确保密码完整性的良好实践提供了明确的指导方针.
什么是NIST?
NIST是一家美国政府机构,负责制定度量、测量和法规(例如 联邦信息处理标准),以加强包括资讯科技在内的新科技的可靠性和安全性. 因此,联邦机构在处理敏感数据时必须遵循NIST标准.
虽然私人组织不需要达到这些标准, NIST的建议仍然是评估他们自己系统安全性的一个有价值的标准. 此外, 因为NIST的指导方针是国际公认的, 您可以通过采用它们来培养组织中的信任.
NIST的建议
NIST密码指南的最后一次重大更新是在2020年发布的 NIST特别出版物800-63B,此后几乎没有什么显著的变化. 虽然文件本身在语言和措辞上相当密集, 它对密码的建议可分为以下几个方面:
长度胜过复杂度
NIST目前的指导方针优先考虑密码长度,而不是以前NIST出版物中建议的复杂字符组合. 现在, 他们的标准要求用户创建的密码长度至少为8个字符, 而程序生成的密码(例如使用密码生成器和保存器应用程序)可以至少有6个字符长. 两种情况下的最大长度都是64个字符.
允许所有可打印字符,包括空格,允许使用唯一的短语. 此外, NIST强烈建议不要使用连续数字(如“1234”)或重复字符(如“aaaa”),因为这些字符被大量使用并且很容易预测.
避免使用常用密码
防止网络攻击, 公司应该积极劝阻常用的, 妥协, 或者重复的密码. 即使是强大的、自行生成的密码,如果不针对已知的漏洞进行检查,也可能存在风险. 此外, 跨帐户重用凭证允许攻击者利用单个漏洞进行更广泛的访问.
考虑集成软件和工具,以便在用户创建弱密码或为其生成弱密码时通知用户. 另外, 如果员工选择的密码出现在数据泄露中,公司应该提醒他们,并敦促他们创建一个新的密码.
放弃密码提示
加强保安, 您的组织的密码策略应该消除密码提示和基于知识的身份验证(KBA)问题,例如“最喜欢的电影”或“宠物的名字”.无论哪种情况, 这些信息可以通过社会工程策略或简单监控员工的社交媒体账户轻松获得. 而不是, 您应该利用利用多因素身份验证(MFA)的密码重置和恢复过程.
实现MFA
如上所述,您可以使用MFA来加强您的在线安全态势. 此安全解决方案增加了关键的第二层防御, 减少未经授权的访问,即使您的密码被泄露. 需要额外的验证因素, 例如发送到移动设备的临时代码或生物识别验证, MFA使得网络犯罪分子更难以侵入你的账户.
每年更改密码
与他们在2020年发布之前的立场相反, NIST现在建议每年重置一次以保持安全,而不是更频繁地更改密码. 虽然每年多次的练习似乎很直观, 这可能会适得其反,因为黑客经常可以预测到频繁更新密码时使用的细微变化. 而不是, NIST建议你专注于创造强大的, 唯一的密码,并优先考虑立即更改,只有当有泄露的嫌疑.
对密码尝试设置限制
为了阻止暴力攻击,NIST建议限制登录尝试. 暴力破解攻击涉及黑客系统地猜测密码组合, 所以通过限制尝试, 你让他们更难破解你的密码并获得未经授权的访问.
与皇冠集团app下载的一位专家交谈,了解更多关于密码安全和其他保护关键系统的方法.