Nejnovější aktualizace doporučení NIST pro hesla(nové okno) je tady a mění způsob, jakým přistupujeme k heslům, přičemž použitelnost má přednost před složitostí.
Mělo by vás to zajímat? Ano. Pokyny NIST neodrážejí pouze osvědčené postupy, které by měl každý dodržovat, ale také ovlivňují dodržování bezpečnostních předpisů. Zaostávání za těmito pokyny by mohlo znamenat nedodržení regulačních rámců, jako jsou HIPAA, GDPR a GLBA – což riskuje neúspěšné audity a nákladné pokuty. Tento průvodce vám pomůže pochopit klíčové změny a jak je nejlépe implementovat ve vašem podnikání.
Co jsou pravidla NIST pro hesla?
Pravidla NIST pro hesla jsou bezpečnostní standardy publikované Národním institutem pro standardy a technologie(nové okno), americkou federální agenturou. Tyto pokyny tvoří základ zásad pro hesla napříč odvětvími a v některých sektorech, jako je státní správa, jsou povinné.
Pokyny jsou vytvářeny na základě výzkumu v reálném světě a nejsou pouhými předpoklady o bezpečnosti hesel. Proto jsou hlavní rámce shody často formovány doporučeními NIST pro hesla a proto jejich implementace posiluje vaši bezpečnostní pozici a dodržování předpisů.
Požadavky NIST na hesla pro rok 2025
Zde je rychlý přehled aktualizovaných požadavků NIST na hesla:
1. Používejte delší hesla
NIST doporučuje minimální délku hesla 8 znaků a maximální 64 znaků. Delší hesla se hůře prolamují, protože bývají unikátnější než krátká, ale složitá hesla, která často sledují předvídatelný vzorec.
2. Zrušte požadavky na složitost
V návaznosti na výše uvedené pravidlo, požadavky na speciální znaky vedou ke složitým heslům, která bohužel vedou k předvídatelným vzorcům, jež mohou hackeři snadno uhodnout. Místo toho akceptujte všechny typy znaků, včetně mezer, a povzbuzujte zaměstnance, aby pro svá hesla vymýšleli jedinečné a zapamatovatelné fráze, známé také jako heslové fráze.
3. Žádné další nucené resety hesel
Jediný případ, kdy by měl být vynucen reset hesla, je, když existují důkazy o kompromitaci. Jinak je nucení zaměstnanců resetovat svá hesla každých pár měsíců považováno za špatnou praxi, protože NIST zjistil, že to ve skutečnosti oslabuje bezpečnost hesel.
4. Udržujte seznam blokovaných hesel
NIST doporučuje, aby podniky udržovaly seznam blokovaných hesel, aby zabránily používání snadno zneužitelných hesel, jako je „1234“, nebo hesel, která obsahují variace jména zaměstnance nebo podniku. Kromě toho doporučuje používat služby pro kontrolu hesel, aby se zajistilo, že zaměstnanci nepoužívají kompromitovaná hesla, která byla odhalena při únicích dat.
5. Eliminujte bezpečnostní otázky a nápovědy
Nápovědy a otázky pro obnovení založené na znalostech, jako například „Jak se jmenoval váš první mazlíček?“, jsou zastaralou praxí. Tyto odpovědi lze snadno získat prostřednictvím sociálních sítí. Místo toho spoléhejte na bezpečné metody obnovení, jako jsou odkazy pro obnovení a ověřovací kódy během resetování.
6. Používejte moderní bezpečnostní nástroje
Omezení počtu neúspěšných pokusů o přihlášení, vyžadování použití vícefaktorového ověřování (MFA) a využívání nástrojů, jako je podnikový správce hesel, poskytují zásadní ochranu proti moderním kybernetickým hrozbám a pomáhají detekovat kompromitaci.
Jak se změnily požadavky NIST na hesla?
| Stará pravidla NIST pro hesla | Nová pravidla NIST pro hesla | |
| Délka hesla | Limit na 8-16 znaků | Delší hesla až do 64 znaků |
| Složitost znaků | Doporučeno | Není vyžadováno |
| Povinné změny hesla | Vyžadováno měsíčně | Pouze při kompromitaci |
| Seznam blokovaných hesel | Základní termíny | Prolomená hesla, vzory a běžné variace |
| Metody obnovení | Bezpečnostní otázky | Odkazy a ověřovací kódy |
| Další opatření | – | MFA a správci hesel |
Jak implementovat doporučení NIST pro hesla
Implementace aktualizovaných doporučení NIST pro hesla je zásadní pro udržení souladu s regulačními rámci. I když nejste vázáni těmito rámci, tyto pokyny zlepší vaši bezpečnostní pozici a ochrání vaše podnikání. Zde je návod, jak je implementovat.
- Proveďte audit: Zkontrolujte stávající zásady oproti novým pokynům NIST a identifikujte zastaralé požadavky, které je třeba aktualizovat.
- Aktualizujte své systémy: Překonfigurujte autentizační systémy podle nových pokynů, například povolením delších hesel a zrušením oken expirace.
- Vytvořte svůj seznam blokovaných hesel: Implementujte prověřování proti databázím úniků dat pro vytvoření vašeho seznamu blokovaných. Dále do seznamu zahrňte termíny a variace specifické pro zaměstnance nebo společnost a běžné vzory.
- Posilte bezpečnostní vrstvy: Zaveďte opatření, jako je omezení pokusů o přihlášení a zpoždění opakovaných pokusů, a používejte MFA pro zajištění dodatečné ochrany.
- Používejte nástroje pro správu hesel: Vybavte zaměstnance nástroji, jako je správce hesel, pro automatizaci vytváření a ukládání hesel. Tyto nástroje eliminují opakované používání hesel a zajišťují správné postupy při práci s hesly.
- Komunikujte změny: Vysvětlete změny svým zaměstnancům a v případě potřeby proveďte školení o používání nástrojů pro správu hesel.
Používejte Proton Pass pro dodržování pravidel NIST pro hesla
Proton Pass je firemní správce hesel, který zjednodušuje dodržování pravidel NIST pro hesla. Je vytvořen s ohledem na soukromí a plně chráněn koncovým šifrováním, takže můžete snadno spravovat všechny své potřeby týkající se hesel s větším klidem.
Mnoho funkcí Proton Pass splňuje doporučení NIST pro hesla – můžete generovat dlouhá a jedinečná hesla, automatizovat přihlašování a vynucovat bezpečnostní zásady, jako je 2FA. Proton Pass také posiluje vaše týmy nástrojem, díky němuž je dodržování těchto pokynů cestou nejmenšího odporu. Je také plně v souladu s GDPR, HIPAA a dalšími standardy ochrany dat, což zjednodušuje váš proces dodržování předpisů.
Často kladené otázky
Kde si mohu přečíst úplná pravidla NIST pro hesla?
Úplná pravidla NIST pro hesla(nové okno) najdete na webových stránkách NIST.
Jsou požadavky NIST na hesla povinné pro všechny podniky?
Požadavky NIST na hesla jsou povinné pro federální agentury. Pro ostatní podniky pokyny povinné nejsou, ale mohou se stát nezbytnými prostřednictvím rámců shody, jako je HIPAA a další. Auditoři a dodavatelé mohou také vyžadovat shodu s NIST.
Jak dlouhé by mělo být heslo podle doporučení NIST?
NIST doporučuje, aby hesla měla délku alespoň osm znaků, s maximem 64 znaků. Podporuje hesla nebo heslové fráze delší délky před složitostí, protože bývají unikátnější a hůře prolomitelné.
Jak vytvořím silné heslo?
Klíčem k vytvoření silného hesla je vyhnout se předvídatelným vzorcům, identifikovatelným informacím a opakovaně používaným heslům. Používejte dlouhá a jedinečná hesla, která kombinují náhodná slova do dlouhých frází, jako například „lava-milk-nose-noise“, nebo fráze a věty, které pro vás mají význam. Správce hesel vám také může automaticky vygenerovat silné heslo.
Stále si nejste jisti, jak nejlépe vytvořit dlouhé a silné heslo, a nechcete se registrovat do správce hesel? Použijte místo toho náš nástroj pro generování hesel.
Jak zapadají správci hesel do pravidel NIST pro hesla?
Správce hesel, jako je Proton Pass, pomáhá podnikům dodržovat pravidla NIST pro hesla generováním dlouhých, jedinečných hesel a eliminací opakovaně používaných hesel. Ve skutečnosti pokyny NIST označují správce hesel za efektivní nástroj pro vytváření silných hesel a doporučují jejich používání.
Proton Pass posouvá tuto shodu ještě dále. Kromě generování dlouhých a jedinečných hesel pro vaše zaměstnance také automatizuje přihlašování a vynucuje bezpečnostní zásady, jako je 2FA, a je koncově šifrovaný, což znamená, že nikdo nemůže získat neoprávněný přístup k vašim heslům.
