NIST 암호 안내서

NIST 암호 안내서

2022-06-03 last update

5 minutes reading Security
국가 표준과 기술 연구소(NIST)는 정부 기구의 안전 파라미터를 정의했다.NIST는 조직이 일관된 관리 요구 사항을 충족하도록 지원합니다.최근 몇 년 동안 NIST는 암호 안내서를 수정했습니다.계정 인수인계(ATO) 공격은 이미 인터넷 범죄자들의 유익한 업무가 되었다.NIST 최고경영진의 한 구성원은 한 인터뷰에서 전통적인 지도 원칙에 대한 견해를 밝혔다. 그는 "나쁜 사람이 쉽게 알아맞힐 수 있는 비밀번호가 생겨 합법적인 사용자에게는 알아맞히기 어렵다"고 말했다.( https://spycloud.com/new-nist-guidelines ). 이것은 가장 안전한 비밀번호를 고르는 예술이 많은 인위적, 심리적 요인과 관련이 있다는 것을 의미한다.NIST는 보안 위험을 보다 효과적으로 관리하고 극복하기 위해 네트워크 보안 프레임워크(CSF)를 개발했습니다.

NIST 네트워크 보안 프레임워크


NIST의 네트워크 보안 프레임워크는'관건적인 인프라 시설의 네트워크 보안'이라고 불리는데 이것은 일련의 규칙을 제공하여 조직이 어떻게 인터넷 범죄를 통제하는지를 규정한다.NIST CSF는 다음 세 가지 주요 섹션으로 구성됩니다.
  • 핵심: 지도 조직의 관리와 그 네트워크 안전 위험을 낮춘다.
  • 실시층: 조직이 네트워크 안전 위험 관리에 대한 관점에 대한 정보를 제공함으로써 조직을 돕는다.
  • 소개: 조직의 수요, 목표와 자원의 독특한 구조.
  • 제안


    다음은 최근 개정된 암호 안내서에서 NIST의 권장 사항 및 권장 사항입니다.
  • 문자 길이: 최소 문자 길이가 8인 암호를 선택할 수 있지만 NIST는 최대 64자의 암호를 설정하는 것을 강력히 권장합니다.
  • 인증되지 않은 접근 방지: 인증되지 않은 사람이 계정에 로그인하려고 한다면 비밀번호를 훔치려는 사람이 없도록 비밀번호를 수정하는 것을 권장합니다.
  • 유출: 소규모 조직이나 간단한 사용자가 암호를 도난당했을 때 그들은 통상적으로 암호를 변경하고 발생한 일을 잊어버린다.NIST는 현재와 미래에 사용할 수 있도록 모든 도난 암호를 나열하는 것을 권장합니다.
  • 팁: 암호를 선택할 때 알림과 보안 문제를 무시합니다.
  • 인증 시도: NIST는 실패한 경우 인증 시도 횟수를 제한하는 것을 강력히 권장합니다.시도 횟수가 제한되어 해커가 여러 암호 조합을 시도하여 로그인할 수 없습니다.
  • 복사 및 붙여넣기: NIST는 관리자가 쉽게 사용할 수 있도록 암호 필드에 붙여넣기 기능을 사용하는 것을 권장합니다.반면 이전 안내서에서는 이러한 붙여넣기 장치를 사용하는 것을 권장하지 않았습니다.암호 관리자는 하나의 주 암호를 사용하여 사용 가능한 암호에 들어갈 때 이 붙여넣기 기능을 사용합니다.
  • 조합 규칙: 문자 조합은 최종 사용자가 만족하지 못할 수 있으므로 이 조합을 건너뛰는 것을 권장합니다.NIST는 일반적으로 사용자가 문자로 구성된 암호를 설정하는 것에 흥미가 부족하기 때문에 암호를 약화시킬 수 있다는 결론을 내렸다.예를 들어 사용자가 암호를 "timeline"으로 설정하면 시스템은 이 암호를 받아들이지 않고 대소문자 조합을 사용하도록 요구합니다.그런 다음 시스템에서 작성 세트의 규칙에 따라 암호를 변경해야 합니다.따라서 NIST는 보안에 취약할 수 있으므로 이 구성 요구 사항을 제외할 것을 권장합니다.
  • 문자의 사용: 일반적으로 공백을 포함하는 암호는 거부됩니다. 공백이 계수되기 때문에 사용자는 공백을 잊어버려서 암호를 기억하기 어렵습니다.NIST는 사용자가 원하는 조합을 사용하여 필요할 때 쉽게 기억하고 회상할 수 있도록 권장합니다.
  • 암호 변경: 조직 보안 프로토콜이나 그 어떠한 유형의 암호에서도 자주 암호를 변경하는 것을 권장합니다.대부분의 사용자는 머지않아 조직의 안전 지침에 따라 변경할 수 있도록 간단하고 기억할 수 있는 비밀번호를 선택한다.NIST는 암호를 자주 변경하지 말고 사용자와 보안 요구 사항을 충족하기 위해 장시간 실행할 수 있도록 충분한 복잡한 암호를 선택하는 것을 권장합니다.
  • 비밀번호가 유출되면 어떻게 합니까?


    해커들이 가장 좋아하는 일은 안전 장벽을 돌파하는 것이다.이를 위해 그들은 혁신의 가능성을 발견하는 데 주력한다.보안 구멍에는 어떤 보안 장벽도 깨뜨리기 위해 무수한 사용자 이름과 비밀번호의 조합이 있다.대부분의 조직에도 해커가 접근할 수 있는 암호 목록이 있기 때문에 그들은 암호 목록 탱크에서 어떤 암호를 선택하는 것을 막고 해커도 암호 목록 탱크에 접근할 수 있다.NIST는 암호 목록에 액세스할 수 없는 조직이 있는 경우와 마찬가지로 암호 목록에 포함할 수 있는 지침을 제공합니다.
  • 이전에 파괴된 암호 목록입니다.
  • 사전에서 선택한 간단한 단어(예를 들어 "contain", "accepted"등)
  • 중복, 시퀀스 또는 간단한 시퀀스를 포함하는 암호 문자(예를 들어 "ccc", "abcdef"또는 "a1b2c3").
  • NIST 지침을 따르는 이유는 무엇입니까?


    NIST가 제공하는 지침은 여러 유형의 조직에서 암호 해독과 관련된 주요 보안 위협을 고려합니다.좋습니다. 만약 그들이 해커가 보안 장벽을 위반한 것을 발견한다면 NIST는 2017년 이후 그들이 한 것처럼 암호 지침을 수정할 수 있습니다.다른 한편, HITRUST, HIPAA, PCI 등의 기타 보안 표준은 기본 초기 안내서를 업데이트하거나 수정하지 않습니다.