NIST Şifre Yönergeleri

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Devlet Kurumları için güvenlik parametrelerini tanımlar. NIST, tutarlı idari gereklilikler için kuruluşlara yardımcı olur. Son yıllarda, NIST parola yönergelerini revize etti. Hesap Devralma (ATO) saldırıları, siber suçlular için ödüllendirici bir iş haline geldi. NIST'in üst düzey yöneticilerinden biri, bir röportajda geleneksel yönergeler hakkındaki görüşlerini dile getirdi: "Kötü adamlar için tahmin edilmesi kolay parolalar üretmek, meşru kullanıcılar için tahmin etmesi zor olan parolalar üretmektir.” (https://spycloud.com/new-nist-guidelines). Bu, en güvenli şifreleri seçme sanatının bir dizi insani ve psikolojik faktörü içerdiği anlamına gelir. NIST, güvenlik risklerini daha etkin bir şekilde yönetmek ve üstesinden gelmek için Siber Güvenlik Çerçevesini (CSF) geliştirdi.

NIST Siber Güvenlik Çerçevesi

"Kritik Altyapı Siber Güvenliği" olarak da bilinen NIST'in siber güvenlik çerçevesi, kuruluşların siber suçluları nasıl kontrol altında tutabileceğini belirleyen geniş bir kurallar düzenlemesi sunar. NIST'in BOS'u üç ana bileşenden oluşur:

• çekirdek: Kuruluşları siber güvenlik risklerini yönetmeye ve azaltmaya yönlendirir.
• Uygulama Katmanı: Kuruluşun siber güvenlik risk yönetimine bakış açısı hakkında bilgi sağlayarak kuruluşlara yardımcı olur.
• Profil: Kuruluşun gereksinimlerinin, hedeflerinin ve kaynaklarının benzersiz yapısı.

Öneriler

Aşağıdakiler, NIST tarafından parola yönergelerinin son revizyonlarında sağlanan öneri ve önerileri içerir.

• Karakter Uzunluğu: Kuruluşlar minimum 8 karakter uzunluğunda bir parola seçebilir, ancak NIST tarafından maksimum 64 karaktere kadar bir parola ayarlanması şiddetle tavsiye edilir.
• Yetkisiz Erişimi Engelleme: Yetkisiz bir kişinin hesabınıza giriş yapmaya çalışması durumunda, şifrenin çalınmaya çalışılması durumunda şifrenin revize edilmesi önerilir.
• Sınırlı: Küçük kuruluşlar veya basit kullanıcılar çalınan bir şifreyle karşılaştığında, genellikle şifreyi değiştirir ve ne olduğunu unuturlar. NIST, şimdiki ve gelecekteki kullanım için çalınan tüm şifreleri listelemenizi önerir.
• İpuçları: Şifreleri seçerken ipuçlarını ve güvenlik sorularını görmezden gelin.
• Kimlik Doğrulama Denemeleri: NIST, başarısızlık durumunda kimlik doğrulama denemelerinin sayısının kısıtlanmasını şiddetle tavsiye eder. Deneme sayısı sınırlıdır ve bilgisayar korsanlarının oturum açmak için birden fazla şifre kombinasyonu denemesi imkansız olacaktır.
• Kopyala ve yapıştır: NIST, yöneticilerin kolaylığı için parola alanında yapıştırma olanaklarının kullanılmasını önerir. Bunun aksine, önceki yönergelerde bu macun tesisi tavsiye edilmedi. Parola yöneticileri, mevcut parolaları girmek için tek bir ana parola kullanmak söz konusu olduğunda bu yapıştırma özelliğini kullanır.
• Kompozisyon Kuralları: Karakterlerin kompozisyonu, son kullanıcı tarafından memnuniyetsizliğe neden olabilir, bu nedenle bu kompozisyonun atlanması tavsiye edilir. NIST, kullanıcının genellikle karakterlerden oluşan bir parola oluşturmaya ilgi duymadığı ve bunun sonucunda parolalarını zayıflattığı sonucuna varmıştır. Örneğin, kullanıcı şifresini 'zaman çizelgesi' olarak belirlerse, sistem bunu kabul etmez ve kullanıcıdan büyük ve küçük harf kombinasyonlarını kullanmasını ister. Bundan sonra kullanıcı, sistemdeki compositing setinin kurallarına uyarak şifresini değiştirmelidir. Bu nedenle, NIST, kuruluşlar güvenlik üzerinde olumsuz bir etkiyle karşı karşıya kalabileceğinden, bu bileşim gereksinimini ekarte etmeyi önerir.
• Karakterlerin Kullanımı: Genellikle boşluk içeren şifreler, boşluk sayıldığından reddedilir ve kullanıcı boşluk karakterlerini unutur, bu da şifrenin ezberlenmesini zorlaştırır. NIST, kullanıcının istediği herhangi bir kombinasyonun kullanılmasını önerir, bu kombinasyon gerektiğinde daha kolay ezberlenebilir ve geri çağrılabilir.
• Parola değişimi: Parolalarda sık sık değişiklik yapılması, çoğunlukla kurumsal güvenlik protokollerinde veya herhangi bir parola türü için önerilir. Çoğu kullanıcı, kuruluşların güvenlik yönergelerini takip etmek için yakın gelecekte değiştirilmek üzere kolay ve not alınabilir bir parola seçer. NIST, parolayı sık sık değiştirmemeyi ve kullanıcıyı ve güvenlik gereksinimlerini karşılamak için uzun süre çalıştırılabilmesi için yeterince karmaşık bir parola seçilmesini önerir.

Parolanın Güvenliği Aşılırsa Ne Olur??

Hackerların en sevdiği iş güvenlik bariyerlerini aşmak. Bu amaçla, geçmek için yenilikçi olasılıkları keşfetmek için çalışırlar. Güvenlik İhlalleri, herhangi bir güvenlik engelini aşmak için sayısız kullanıcı adı ve şifre kombinasyonuna sahiptir. Çoğu kuruluş, bilgisayar korsanlarının erişebileceği bir parola listesine de sahiptir, bu nedenle, bilgisayar korsanlarının da erişebildiği parola listeleri havuzundan herhangi bir parola seçimini engellerler. Aynı endişeyi göz önünde bulundurarak, herhangi bir kuruluş şifre listesine erişemezse, NIST bir şifre listesinin içerebileceği bazı yönergeler sağlamıştır:

• Daha önce ihlal edilen şifrelerin listesi.
• Sözlükten seçilen basit kelimeler (e.g., "içerir", "kabul edildi" vb.)
• Tekrar, dizi veya basit bir dizi içeren parola karakterleri (e.g. 'cccc,"abcdef' veya 'a1b2c3').

NIST Yönergelerini Neden Takip Edin??

NIST tarafından sağlanan yönergeler, birçok farklı türde kuruluş için parola hack'leriyle ilgili temel güvenlik tehditlerini göz önünde bulundurur. İşin iyi yanı, NIST, bilgisayar korsanlarının neden olduğu herhangi bir güvenlik bariyeri ihlalini gözlemlerse, 2017'den beri yaptığı gibi, parola yönergelerini revize edebilir. Öte yandan, diğer güvenlik standartları (e.g., HITRUST, HIPAA, PCI) sağladıkları temel ilk yönergeleri güncellemez veya revize etmez.