Den nyeste oppdateringen av NISTs passordanbefalinger(nytt vindu) er her, og de endrer hvordan vi forholder oss til passord ved at brukervennlighet gis forrang foran kompleksitet.
Burde du bry deg? Ja. NIST-retningslinjene reflekterer ikke bare de beste praksisene alle bør følge, men de påvirker også sikkerhetssamsvar. Å havne bakpå med disse retningslinjene kan bety manglende samsvar med regulatoriske rammeverk som HIPAA, GDPR og GLBA — og risikere mislykkede revisjoner og kostbare straffer. Denne guiden vil hjelpe deg med å forstå de viktigste endringene og hvordan du best kan implementere dem i bedriften din.
Hva er NISTs retningslinjer for passord?
NISTs retningslinjer for passord er sikkerhetsstandarder utgitt av National Institute of Standards and Technology(nytt vindu), et amerikansk føderalt byrå. Disse retningslinjene danner grunnlaget for retningslinjer for passord på tvers av bransjer, og i noen sektorer, som for offentlige myndigheter, er de obligatoriske.
Retningslinjene er laget basert på forskning fra den virkelige verden, og er ikke bare antakelser om passordsikkerhet. Dette er grunnen til at store samsvarsrammeverk ofte formes av NISTs passordanbefalinger, og hvorfor implementering av dem styrker sikkerhetsstillingen og det regulatoriske samsvaret ditt.
2025 NIST-krav til passord
Her er en rask gjennomgang av de oppdaterte NIST-kravene til passord:
1. Bruk lengre passord
NIST anbefaler en passordlengde på minimum 8 tegn og maksimum 64 tegn. Lengre passord er vanskeligere å hacke, da de har en tendens til å være mer unike enn korte, men komplekse passord som ofte følger et forutsigbart mønster.
2. Dropp kompleksitetskrav
Ved å bygge på retningslinjen ovenfor, resulterer krav om spesialtegn i komplekse passord som dessverre fører til forutsigbare mønstre som hackere lett kan gjette. Godta i stedet alle typer tegn, inkludert mellomrom, og oppmuntre ansatte til å finne på unike og minneverdige fraser, også kjent som passfraser, for passordene sine.
3. Ingen flere tvungne tilbakestillinger av passord
Den eneste gangen en tvungen tilbakestilling av passord bør håndheves, er når det er bevis på at det er kompromittert. Ellers regnes det som dårlig praksis å tvinge ansatte til å tilbakestille passordene sine med noen måneders mellomrom, ettersom NIST har funnet ut at det faktisk gjør passordsikkerheten svakere.
4. Oppretthold en passordblokkeringsliste
NIST anbefaler at bedrifter opprettholder en passordblokkeringsliste for å forhindre bruk av passord som lett kan utnyttes, slik som «1234», eller passord som inneholder funksjoner med variasjoner av den ansattes eller bedriftens navn. I tillegg anbefaler de å bruke passordkontrollerende tjenester for å sikre at ansatte ikke bruker kompromitterte passord som har blitt eksponert i brudd.
5. Eliminer sikkerhetsspørsmål og hint
Kunnskapsbaserte gjenopprettingshint og spørsmål, slik som «Hva het ditt første kjæledyr?», er en utdatert praksis. Disse svarene er lett tilgjengelige gjennom sosiale medier. Stol i stedet på sikre gjenopprettingsmetoder, slik som gjenopprettingslenker og verifiseringskoder under tilbakestillinger.
6. Bruk moderne sikkerhetsverktøy
Å begrense antallet mislykkede påloggingsforsøk, kreve bruk av flerfaktorautentisering (MFA), og utnytte verktøy som en passordapp for bedrifter gir avgjørende beskyttelse mot moderne netttrusler og bidrar til å oppdage forsøk på å kompromittere.
Hvordan har NIST-kravene til passord endret seg?
| Gamle NIST-retningslinjer for passord | Nye NIST-retningslinjer for passord | |
| Passordlengde | Grense på 8–16 tegn | Lengre passord opptil 64 tegn |
| Tegnkompleksitet | Oppmuntres | Ikke påkrevd |
| Obligatoriske endringer av passord | Kreves månedlig | Bare når de er kompromittert |
| Passordblokkeringsliste | Grunnleggende termer | Passord som er lekket i brudd, mønstre og vanlige variasjoner |
| Gjenopprettingsmetoder | Sikkerhetsspørsmål | Lenker og verifiseringskoder |
| Ytterligere forholdsregler | – | MFA og passordapper |
Hvordan implementere NISTs passordanbefalinger
Implementering av de oppdaterte NIST-passordanbefalingene er avgjørende for å opprettholde samsvar med regulatoriske rammeverk. Selv om du ikke er bundet av disse rammeverkene, vil disse retningslinjene forbedre sikkerhetsstillingen din og ivareta bedriften din. Slik implementerer du dem.
- Gjennomfør en revisjon: Gjennomgå eksisterende retningslinjer opp mot de nye NIST-retningslinjene for å identifisere utdaterte krav som må oppdateres.
- Oppdater systemene dine: Konfigurer autentiseringssystemer på nytt i henhold til de nye retningslinjene, for eksempel ved å tillate lengre passord og ingen utløpsdatoer.
- Bygg blokkeringslisten din: Implementer screening mot brudddatabaser for å bygge ut blokkeringslisten din. Inkluder i tillegg ansatt- eller selskapsspesifikke termer og variasjoner, samt vanlige mønstre i blokkeringslisten din.
- Styrk sikkerhetslag: Implementer tiltak som å begrense påloggingsforsøk og forsinke nye forsøk, og bruk MFA for å gi ytterligere beskyttelse.
- Bruk verktøy for passordhåndtering: Utstyr ansatte med verktøy som en passordapp for å automatisere opprettelse og lagring av passord. Disse verktøyene eliminerer gjenbruk av passord og sikrer gode passordpraksiser.
- Kommuniser endringer: Forklar endringene til de ansatte, og gjennomfør opplæring i bruk av passordhåndteringsverktøy der det er nødvendig.
Bruk Proton Pass for å overholde NIST-retningslinjene for passord
Proton Pass er en passordapp for bedrifter som forenkler samsvar med NIST-retningslinjene for passord. Bygget med personvern i tankene og fullstendig beskyttet med ende-til-ende-kryptering, kan du enkelt administrere alle passordbehovene dine med større trygghet.
Mange av Proton Pass sine funksjoner oppfyller NISTs passordanbefalinger — du kan generere lange og unike passord, automatisere pålogginger og håndheve sikkerhetsretningslinjer som 2FA. Proton Pass utstyrer også teamene dine med et verktøy som gjør det å følge disse retningslinjene til minste motstands bane. Det er også i fullt samsvar med GDPR, HIPAA og andre databeskyttelsesstandarder, noe som forenkler samsvarsprosessen din.
Ofte stilte spørsmål
Hvor kan jeg lese de fulle NIST-retningslinjene for passord?
Du finner de fulle NIST-retningslinjene for passord(nytt vindu) på NISTs nettsted.
Er NIST-kravene til passord obligatoriske for alle bedrifter?
NIST-kravene til passord er obligatoriske for føderale byråer. For andre bedrifter er ikke retningslinjene obligatoriske, men de kan bli nødvendige gjennom samsvarsrammeverk som HIPAA og andre. Revisorer og entreprenører kan også kreve NIST-samsvar.
Ifølge NISTs passordanbefalinger, hvor langt bør et passord være?
NIST anbefaler at passord er minst åtte tegn lange, med et maksimum på 64 tegn. De oppmuntrer til passord eller passfraser med lengre lengde fremfor kompleksitet, ettersom de pleier å være mer unike og vanskeligere å hacke.
Hvordan oppretter jeg et sterkt passord?
Nøkkelen til å opprette et sterkt passord er å unngå forutsigbare mønstre, identifiserbar informasjon og gjenbrukte passord. Bruk lange og unike passord som kombinerer tilfeldige ord til lange fraser, som «lava-melk-nese-støy», eller fraser og setninger som er meningsfulle for deg. En passordapp kan også automatisk generere et sterkt passord for deg.
Er du fremdeles usikker på hvordan du best oppretter et langt, sterkt passord og ønsker ikke å registrere deg for en passordapp? Bruk vårt passordgenerator-verktøy i stedet.
Hvordan passer passordapper inn i NIST-retningslinjene for passord?
En passordapp som Proton Pass hjelper bedrifter med å overholde NIST-retningslinjene for passord ved å generere lange, unike passord og eliminere gjenbrukte passord. Faktisk fremhever NIST-retningslinjene passordapper som et effektivt verktøy for å opprette sterke passord og anbefaler bruk av dem.
Proton Pass tar dette samsvaret videre. Foruten å generere lange, unike passord for de ansatte, automatiserer den også pålogginger og håndhever sikkerhetsretningslinjer som 2FA, og den er ende-til-ende-kryptert, noe som betyr at ingen kan få uautorisert tilgang til passordene dine.
