Pedoman Kata Sandi NIST

Institut Nasional Standar dan Teknologi (NIST) mendefinisikan parameter keamanan untuk Institusi Pemerintah. NIST membantu organisasi untuk kebutuhan administrasi yang konsisten. Dalam beberapa tahun terakhir, NIST telah merevisi pedoman password. Serangan Pengambilalihan Akun (ATO) telah menjadi bisnis yang menguntungkan bagi penjahat dunia maya. Salah satu anggota manajemen puncak NIST mengungkapkan pandangannya tentang pedoman tradisional, dalam sebuah wawancara “menghasilkan password yang mudah ditebak oleh orang jahat sulit ditebak oleh user yang sah.” ( https://spycloud.com/new-nist-guidelines ). Ini menyiratkan bahwa seni memilih password yang paling aman melibatkan sejumlah faktor manusia dan psikologis. NIST telah mengembangkan Cybersecurity Framework (CSF) untuk mengelola dan mengatasi risiko keamanan secara lebih efektif.

Framework Kerja Keamanan Siber NIST

Juga dikenal sebagai “Keamanan Siber Infrastruktur Kritis,” framework kerja keamanan siber NIST menyajikan pengaturan luas aturan yang menentukan bagaimana organisasi dapat mengendalikan penjahat siber. CSF NIST terdiri dari tiga komponen utama:

  • Core: Memimpin organisasi untuk mengelola dan mengurangi risiko keamanan siber mereka.
  • Implementation Tier: Membantu organisasi dengan memberikan informasi mengenai perspektif organisasi tentang manajemen risiko keamanan siber.
  • Profile: Struktur unik organisasi dari persyaratan, tujuan, dan sumber dayanya.

Rekomendasi

Berikut ini termasuk saran dan rekomendasi yang diberikan oleh NIST dalam revisi terbaru pedoman sandi.

  • Characters Length: Organisasi dapat memilih password dengan panjang karakter minimum 8, tetapi sangat disarankan oleh NIST untuk menetapkan password hingga maksimum 64 karakter.
  • Preventing Unauthorized Access: Jika orang yang tidak berwenang mencoba masuk ke akun Anda, disarankan untuk merevisi password jika ada upaya untuk mencuri password.
  • Compromised:Ketika organisasi kecil atau user sederhana menemukan password yang dicuri, mereka biasanya mengubah password dan melupakan apa yang terjadi. NIST menyarankan untuk membuat daftar semua password yang dicuri untuk useran saat ini dan di masa mendatang.
  • Hints: Abaikan petunjuk dan pertanyaan keamanan saat memilih password.
  • Authentication Attempts:NIST sangat menyarankan untuk membatasi jumlah upaya otentikasi jika terjadi kegagalan. Jumlah upaya terbatas, dan peretas tidak mungkin mencoba beberapa kombinasi password untuk login.
  • Copy and Paste:NIST merekomendasikan untuk menggunakan fasilitas paste pada kolom password untuk kemudahan pengelola. Bertentangan dengan itu, dalam pedoman sebelumnya, fasilitas tempel ini tidak direkomendasikan. Pengelola password menggunakan fasilitas tempel ini ketika menggunakan satu password utama untuk memasukkan password yang tersedia.
  • Composition Rules:Komposisi karakter dapat mengakibatkan ketidakpuasan oleh user akhir, jadi disarankan untuk melewati komposisi ini. NIST menyimpulkan bahwa user biasanya menunjukkan kurangnya minat dalam membuat password dengan komposisi karakter, yang mengakibatkan melemahnya password mereka. Misalnya, jika user menetapkan password mereka sebagai ‘garis waktu’, sistem tidak akan menerimanya dan meminta user untuk menggunakan kombinasi karakter huruf besar dan kecil. Setelah itu, user harus mengubah password dengan mengikuti aturan compositing yang diatur dalam sistem. Oleh karena itu, NIST menyarankan untuk mengesampingkan persyaratan komposisi ini, karena organisasi mungkin menghadapi efek yang tidak menguntungkan pada keamanan.
  • Use of Characters:Biasanya, password yang mengandung spasi ditolak karena spasi dihitung, dan user lupa karakter spasi, sehingga password sulit untuk dihafal. NIST merekomendasikan untuk menggunakan kombinasi apa pun yang diinginkan user, yang dapat lebih mudah diingat dan diingat kapan pun diperlukan.
  • Password Change:Perubahan password yang sering sering disarankan dalam protokol keamanan organisasi atau untuk jenis password apa pun. Sebagian besar user memilih password yang mudah dan mudah diingat untuk diubah dalam waktu dekat untuk mengikuti pedoman keamanan organisasi. NIST merekomendasikan untuk tidak sering mengubah password dan memilih password yang cukup kompleks sehingga dapat dijalankan dalam waktu lama untuk memenuhi kebutuhan user dan keamanan.

Bagaimana jika Kata Sandi Disusupi?

Pekerjaan favorit para peretas adalah menembus penghalang keamanan. Untuk tujuan itu, mereka bekerja untuk menemukan kemungkinan inovatif untuk dilalui. Pelanggaran Keamanan memiliki kombinasi nama user dan password yang tak terhitung jumlahnya untuk memecahkan penghalang keamanan apa pun.
Sebagian besar organisasi juga memiliki daftar password yang dapat diakses oleh peretas, sehingga mereka memblokir pilihan password apa pun dari kumpulan daftar password, yang juga dapat diakses oleh peretas. Dengan tetap memperhatikan masalah yang sama, jika ada organisasi yang tidak dapat mengakses daftar password, NIST telah memberikan beberapa panduan yang dapat berisi daftar password:

  • Daftar password yang telah dilanggar sebelumnya.
  • Kata-kata sederhana yang dipilih dari kamus (misalnya, ‘berisi,’ ‘diterima,’ dll.)
  • Karakter sandi yang berisi pengulangan, rangkaian, atau rangkaian sederhana (misalnya ‘cccc,’ ‘abcdef,’ atau ‘a1b2c3’).

Mengapa Mengikuti Pedoman NIST?

Pedoman yang diberikan oleh NIST tetap memperhatikan ancaman keamanan utama yang terkait dengan peretasan password untuk berbagai jenis organisasi. Hal baiknya adalah, jika mereka mengamati adanya pelanggaran terhadap penghalang keamanan yang disebabkan oleh peretas, NIST dapat merevisi pedoman password mereka, seperti yang telah mereka lakukan sejak 2017. Di sisi lain, standar keamanan lainnya (misalnya, HITRUST, HIPAA, PCI) tidak memperbarui atau merevisi pedoman dasar awal yang telah mereka berikan.

Related Posts