Mẹo mật khẩu hiện đại dựa trên hướng dẫn của NIST

Security
Mẹo mật khẩu hiện đại dựa trên hướng dẫn của

Mật khẩu vốn là một biện pháp bảo mật còn nhiều thiếu sót trong thời đại liên tục xảy ra các cuộc tấn công lừa đảo và rò rỉ dữ liệu lớn. Hướng dẫn này chia nhỏ các khuyến nghị mới nhất từ ​​Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) và chỉ ra cách cải thiện bảo mật bằng mật khẩu dài hơn, công cụ thông minh hơn và phương pháp xác thực hiện đại.

Tại sao doanh nghiệp của bạn nên lắng nghe NIST?

NIST là cơ quan chính phủ Hoa Kỳ đặt ra các tiêu chuẩn an ninh mạng. Mặc dù ban đầu được tạo ra cho các cơ quan liên bang nhưng ảnh hưởng của nó giờ đây đã mở rộng sang khu vực tư nhân. Các ngành xử lý dữ liệu nhạy cảm, chẳng hạn như chăm sóc sức khỏe, tài chính và phần mềm, thường áp dụng các nguyên tắc của NIST vì chúng dựa trên thử nghiệm nghiêm ngặt trong thế giới thực và sự hiểu biết về hành vi của con người.

Trên thực tế, nhiều khuôn khổ tuân thủ hiện đại, bao gồm HIPAA và SOC 2, hiện đã kết hợp phương pháp tiếp cận của NIST để quản lý danh tính, thiết lập các khuyến nghị của NIST làm tiêu chuẩn vàng cho bất kỳ doanh nghiệp quan tâm đến bảo mật nào.

Thực tiễn lỗi thời so với tiêu chuẩn NIST mới

Để đạt được sự cân bằng giữa tính bảo mật và tính dễ sử dụng, các tổ chức phải từ bỏ các chính sách mật khẩu cũ và áp dụng hướng dẫn bảo mật mật khẩu mới nhất của NIST.

Ưu tiên độ dài mật khẩu hơn độ phức tạp

Một trong những thay đổi lớn nhất trong bảo mật mật khẩu là việc chuyển từ các quy tắc phức tạp nghiêm ngặt sang. Điều này có nghĩa là các tổ chức không còn cần phải yêu cầu kết hợp chữ in hoa, số và ký hiệu nữa. Lý do rất đơn giản: người dùng tìm ra những cách có thể dự đoán được để đáp ứng các quy tắc này (ví dụ: “Password123!”), khiến mật khẩu trở nên cực kỳ dễ đoán.

Độ dài bây giờ là yếu tố quan trọng nhất trong bảo mật mật khẩu. Mật khẩu dài hơn khiến tội phạm mạng khó bẻ khóa hơn, ngay cả với phần cứng mạnh mẽ. Mặc dù nguyên tắc của NIST đề xuất tối thiểu 8 ký tự cho tài khoản tiêu chuẩn, nhưng các chuyên gia bảo mật khuyến nghị 12 đến 16 ký tự để cân bằng tốt hơn về bảo mật và khả năng sử dụng.

Để hỗ trợ sự thay đổi này, các hệ thống giờ đây phải cung cấp mật khẩu dài tối đa 64 ký tự, cho phép người dùng tạo các cụm mật khẩu dễ nhớ. Cụm mật khẩu là một chuỗi các từ không liên quan (ví dụ: “bluecoffeetrainsunset”), hiện được coi là một trong những phương thức xác thực thân thiện và an toàn nhất. Bởi vì chúng dễ nhớ hơn và khó bẻ khóa hơn đáng kể so với mật khẩu ngắn, phức tạp nên cụm mật khẩu mang lại sự tiện lợi và bảo mật vượt trội.

Hơn nữa, NIST hiện yêu cầu các hệ thống phải chấp nhận tất cả các ký tự ASCII, dấu cách và ký hiệu Unicode có thể in được. Điều này cho phép người dùng tạo cụm mật khẩu dài hơn, dễ nhớ hơn bằng cách sử dụng các ký tự ngôn ngữ bản địa hoặc thậm chí biểu tượng cảm xúc, điều này cũng có thể giúp giảm tần suất yêu cầu đặt lại mật khẩu.

Chấm dứt việc buộc phải đặt lại mật khẩu

Việc bắt buộc thay đổi mật khẩu sau mỗi 60 hoặc 90 ngày là một thông lệ đã lỗi thời. Chính sách này thường dẫn đến sự mệt mỏi về bảo mật, khiến người dùng tạo mật khẩu yếu hơn, dễ đoán hơn.

Thay vào đó, NIST hiện đề xuất một cách tiếp cận thực tế hơn:

  • Chỉ yêu cầu thay đổi mật khẩu khi có bằng chứng về sự xâm phạm.
  • Tích cực theo dõi các tài khoản để phát hiện hoạt động đáng ngờ.
  • Kích hoạt đặt lại mật khẩu dựa trên rủi ro thực tế chứ không phải theo lịch trình cố định.

Sàng lọc mật khẩu và theo dõi thông tin xác thực bị xâm phạm

Những kẻ tấn công thường dựa vào danh sách mật khẩu bị rò rỉ hơn là đoán ngẫu nhiên. Đó là lý do tại sao NIST khuyến nghị các tổ chức thực hiện những điều sau:

  • Chặn việc sử dụng các mật khẩu phổ biến (ví dụ: “123456”).
  • Ngăn chặn nhân viên sử dụng mật khẩu bị lộ trong các lần vi phạm trước đây.
  • Liên tục theo dõi các thông tin đăng nhập bị lộ.

Sử dụng trình quản lý mật khẩu

Vì mỗi tài khoản đều cần một mật khẩu dài và duy nhất nên việc nhớ tất cả chúng thực tế là không thể. Đó là lý do tại sao NIST đặc biệt khuyến khích sử dụng trình quản lý mật khẩu. Những công cụ này hoạt động như một kho tiền kỹ thuật số an toàn, tạo và tự động điền mật khẩu mạnh để nhóm của bạn không cần phải làm vậy.

Ngoài mật khẩu: MFA và sinh trắc học

Mật khẩu thôi là không đủ để đảm bảo an ninh. NIST khuyến nghị rằng khi cần mật khẩu, nó phải được ghép nối với một lớp xác minh bổ sung:

MFA chống lừa đảo

Xác thực đa yếu tố (MFA) củng cố tài khoản bằng cách yêu cầu nhiều thứ hơn là chỉ mật khẩu để truy cập tài khoản. Tuy nhiên, NIST hiện khuyên không nên sử dụng mã văn bản SMS cho MFA vì tin tặc có thể chặn những mã này. Thay vào đó, họ khuyên bạn nên sử dụng các ứng dụng xác thực hoặc khóa bảo mật phần cứng (mã thông báo USB nhỏ). Với những phương pháp này, “chìa khóa” tài khoản của bạn vẫn được lưu giữ an toàn trên thiết bị vật lý của bạn.

Sinh trắc học an toàn và chính xác

Để bảo mật sinh trắc học như nhận dạng khuôn mặt và dấu vân tay, NIST đặt ra các tiêu chuẩn cao về:

  • Sự chính xác: Hệ thống phải có tỷ lệ khớp sai nhỏ hơn 1 trên 10.000 để đảm bảo độ tin cậy.
  • Sự riêng tư: Hình ảnh dấu vân tay hoặc khuôn mặt thực tế của bạn không bao giờ được lưu trữ. Thay vào đó, hệ thống tạo ra một bản đồ kỹ thuật số duy nhất (mẫu) và xóa ngay dữ liệu sinh trắc học ban đầu, bảo vệ danh tính của bạn.

Kết nối với các chuyên gia của chúng tôi để tăng cường khả năng phòng thủ mạng của bạn trước các mối đe dọa mới nổi và khám phá tương lai của bảo mật mật khẩu.