Lakhasly

تعتبر الخطوط العريضة لإرشادات كلمة مرور NIST المعيار الذهبي لإنشاء كلمات مرور قوية وسياسات الإدارة. تشرح هذه المقالة إرشادات كلمة مرور NIST الحالية ، دليل مجاني] أفضل ممارسات سياسة كلمة المرور لأمان قوي في AD تطور إرشادات كلمة مرور NIST الذي تم إصداره في عام 2019 وتم تحديثه في عام 2020. هناك مراجعة رابعة (إرشادات كلمة مرور NIST 2024) قيد العمل للاستجابة لمشهد الهجمات المتطور. سواء كانت مادية أو سببية أو مادية تكوين كلمة المرور ، إدارة كلمات المرور ، تكوين كلمة المرور الحد الأدنى للطول — يجب ألا يقل طول كلمات المرور التي ينشئها المستخدم عن 8 أحرف وأن تكون كلمات المرور التي تم إنشاؤها تلقائيا 6 أحرف على الأقل. تعقيد كلمة المرور - كانت إرشادات NIST السابقة تتطلب كلمات المرور تضمين أحرف خاصة وحظر أحرف معينة ، الآن يوصي NIST بعدم وجود متطلبات تعقيد ولكن جعل أي حرف من أحرف الرمز القياسي الأمريكي لتبادل المعلومات (ASCII) مسموحا به. وتتعلق التنقيحات الرئيسية بما يلي: كانت متطلبات انتهاء صلاحية كلمة مرور NIST تجبر المستخدمين على تغيير كلمة المرور الخاصة بهم بشكل دوري. قد تتضمن قوائم كلمات المرور هذه بيانات اعتماد تم اختراقها في انتهاكات سابقة ، وكلمات قاموس ، وكلمات مرور تحتوي على أحرف متكررة أو متتالية مثل "12345" أو "aaaa" ، وكلمات خاصة بالسياق مثل اسم المستخدم أو النشاط التجاري. تخزين كلمات المرور - يتطلب NIST استخدام تجزئة كلمة المرور والتمليح لجعل هجمات تخمين كلمات المرور باهظة التكلفة للخصوم. "في أي عام ولدت؟") لأنها يمكن أن تسهل على المتسللين تخمين كلمة مرور المستخدم. يمكن أن يمكنك اختيار الأدوات المناسبة من تحقيق الامتثال لإرشادات كلمة مرور NIST بشكل أسرع وأكثر فعالية. تشمل المنتجات الرئيسية ما يلي: مما يجعل من السهل إنشاء سياسات كلمات مرور قوية ومرنة مع تقديم تجربة إيجابية للمستخدمين. مما يقلل من تكاليف مكتب المساعدة وإحباط المستخدم. استنتاج تتضمن التغييرات الرئيسية من الإرشادات القديمة التأكيد على الطول على التعقيد وعدم الحاجة إلى تدوير كلمة المرور بانتظام. "إرشادات الهوية الرقمية" ، توصيات لتكوين كلمة المرور وإدارة كلمات المرور. تتضمن إرشادات NIST الحالية ما يلي: اشترط أن تتكون كلمات المرور التي ينشئها المستخدم من 8 إلى 64 حرفا وأن تتكون كلمات المرور التي ينشئها المستخدم تلقائيا من 6 إلى 64 حرفا. تحقق من كلمات المرور الجديدة للمرشح مقابل قائمة كلمات المرور الضعيفة والمخترقة. ما هو دليل كلمة مرور NIST 800-63؟ بعنوان "إرشادات الهوية الرقمية" ، لم يعد المعهد الوطني للمعايير والتكنولوجيا يوصي بمطالبة المستخدمين بتغيير كلمات المرور الخاصة بهم بانتظام، ما هي معايير كلمة المرور لعام 2024؟

يساعد المعهد الوطني للمعايير والتكنولوجيا (NIST) المؤسسات على تنفيذ أفضل الممارسات عبر عملياتها ، بما في ذلك الأمن السيبراني. على وجه الخصوص ، تعتبر الخطوط العريضة لإرشادات كلمة مرور NIST المعيار الذهبي لإنشاء كلمات مرور قوية وسياسات الإدارة.

تشرح هذه المقالة إرشادات كلمة مرور NIST الحالية ، المفصلة في المنشور الخاص 800-63B ، "إرشادات الهوية الرقمية" ، وكيف يمكن للمؤسسات تنفيذها لتعزيز استراتيجية الأمن السيبراني الخاصة بها.

محتوى ذو صلة منتقى بعناية:
[دليل مجاني] أفضل ممارسات سياسة كلمة المرور لأمان قوي في AD

تطور إرشادات كلمة مرور NIST
تم إصدار الإصدار الأول من إرشادات كلمة مرور NIST 800-63 في عام 2014. المعيار الحالي هو الإصدار 3 ، الذي تم إصداره في عام 2019 وتم تحديثه في عام 2020. هناك مراجعة رابعة (إرشادات كلمة مرور NIST 2024) قيد العمل للاستجابة لمشهد الهجمات المتطور.

أحد الأسباب الرئيسية وراء تغيير NIST لإرشادات كلمة المرور الخاصة به بمرور الوقت هو ملاحظته لسلوك المستخدم في العالم الحقيقي. على وجه التحديد ، في حين أن قواعد كلمة المرور الصارمة قد تعزز الأمان ، إلا أنها يمكن أن تطغى على المستخدمين ، مما يؤدي بهم إلى تبني ممارسات تضر بالأمان بالفعل.

على سبيل المثال ، يمكن أن يؤدي مطالبة المستخدمين باختيار كلمات مرور معقدة للغاية وتغييرها بشكل متكرر إلى الإضرار أكثر مما نفعه - قد يلجأ المستخدمون الحريصون على تجنب الإحباط من إغلاق الحسابات إلى كتابة كلمات المرور الخاصة بهم والاحتفاظ بها بجوار مكاتبهم. وفقا لذلك ، يسعى NIST الآن إلى تسهيل أفضل الممارسات الأكثر سهولة في الاستخدام والتي تعمل على تحسين الأمان العام.

المصطلحات الرئيسية
يتم تقديم أقسام المنشور الخاص ل NIST على أنها إعلامية أو معيارية أو كليهما. تهدف المواد الإعلامية إلى مساعدة القارئ على فهم المفاهيم. يوفر المحتوى المعياري توصيات للشركة لاستخدامها عند إنشاء سياسات كلمة المرور. انتبه جيدا للمصطلحات الرئيسية التالية:

يجب ولا يجب - الإشارة إلى الإجراءات التي يطلب NIST من المنظمات اتخاذها (أو عدم اتخاذها)
يجب ولا ينبغي - أشر إلى أن NIST يوصي (أو يثبط) إجراء ما
يجوز ولا يجوز - الإشارة إلى أن الإجراء مسموح به (أو غير مسموح به)
يمكن ولا يمكن - تشير إلى إمكانية أو قدرة (أو عدم وجودها) ، سواء كانت مادية أو سببية أو مادية
إرشادات كلمة مرور NIST
يمكن تجميع المكونات الأساسية لتوصيات كلمة مرور NIST في مجالين:

تكوين كلمة المرور ، والذي يتضمن متطلبات الطول والتعقيد لكلمات المرور الآمنة.
إدارة كلمات المرور ، والتي تغطي موضوعات مثل انتهاء صلاحية كلمة المرور وسياسات القفل واستخدام مديري كلمات المرور.
تكوين كلمة المرور
يتمثل أحد الاختلافات الرئيسية بين إرشادات كلمة مرور NIST القديمة والإرشادات الحالية في إعطاء الأولوية لطول كلمة المرور على التعقيد. السبب بسيط: في حين أن متطلبات التعقيد تجعل من الصعب على المتسللين تخمينها أو اختراقها ، إلا أنها غالبا ما تتسبب في لجوء المستخدمين إلى ممارسات محفوفة بالمخاطر مثل كتابة كلمات المرور الخاصة بهم. تحقق متطلبات الطول العديد من مزايا الأمان دون الجانب السلبي ، حيث يمكن للمستخدمين اختيار عبارات مرور قوية يسهل تذكرها وكتابتها.

وفقا لذلك ، تتضمن إرشادات كلمة مرور NIST 2023 متطلبات الطول والتعقيد التالية:

الحد الأدنى للطول — يجب ألا يقل طول كلمات المرور التي ينشئها المستخدم عن 8 أحرف وأن تكون كلمات المرور التي تم إنشاؤها تلقائيا 6 أحرف على الأقل. في السابق ، كان الحد الأدنى لطول كليهما 6.
الحد الأقصى للطول — يجب أن يبلغ الحد الأقصى لطول كلمات المرور التي ينشئها المستخدم وكلمات المرور التي ينشئها تلقائيا 64 حرفا.
تعقيد كلمة المرور - كانت إرشادات NIST السابقة تتطلب كلمات المرور تضمين أحرف خاصة وحظر أحرف معينة ، مثل المسافات والرموز التعبيرية. الآن يوصي NIST بعدم وجود متطلبات تعقيد ولكن جعل أي حرف من أحرف الرمز القياسي الأمريكي لتبادل المعلومات (ASCII) مسموحا به.
إدارة كلمات المرور
يقدم منشور NIST الحالي أيضا إرشادات منقحة حول إدارة أمان كلمة المرور. وتتعلق التنقيحات الرئيسية بما يلي:

تغييرات كلمة المرور - في السابق ، كانت متطلبات انتهاء صلاحية كلمة مرور NIST تجبر المستخدمين على تغيير كلمة المرور الخاصة بهم بشكل دوري. ومع ذلك ، في ضوء الأبحاث اللاحقة ، يوصي NIST الآن بمطالبة المستخدمين بتغيير كلمات المرور الخاصة بهم فقط عندما يكون هناك سبب محدد ، مثل اختراق الحساب.
سجل كلمات المرور: يتم تشجيع المؤسسات على التحقق من كلمة المرور الجديدة المقترحة للمستخدم مقابل كلمات المرور القديمة لضمان الأصالة الكافية.
التحقق من كلمة المرور - يتطلب NIST من المؤسسات التحقق من كلمات المرور الجديدة المقترحة مقابل قائمة سوداء بكلمات المرور المحظورة. قد تتضمن قوائم كلمات المرور هذه بيانات اعتماد تم اختراقها في انتهاكات سابقة ، وكلمات قاموس ، وكلمات مرور تحتوي على أحرف متكررة أو متتالية مثل "12345" أو "aaaa" ، وكلمات خاصة بالسياق مثل اسم المستخدم أو النشاط التجاري.
تأمين الحساب - يوصي NIST 800-63B بقفل الحسابات بعد ما لا يقل عن 10 محاولات تسجيل دخول فاشلة.
تخزين كلمات المرور - يتطلب NIST استخدام تجزئة كلمة المرور والتمليح لجعل هجمات تخمين كلمات المرور باهظة التكلفة للخصوم.
تلميحات كلمة المرور - لا تشجع إرشادات كلمة مرور NIST الحالية المؤسسات على السماح بتلميحات كلمة المرور (على سبيل المثال ، "في أي عام ولدت؟") لأنها يمكن أن تسهل على المتسللين تخمين كلمة مرور المستخدم.
أفضل الممارسات لتنفيذ إرشادات كلمة مرور NIST
تقدم إرشادات NIST نظرة ثاقبة قيمة حول الحفاظ على أنظمة تكنولوجيا المعلومات وخدماتها وبياناتها في مأمن من التهديدات السيبرانية. فيما يلي بعض أفضل الممارسات الرئيسية التي يجب اتباعها:

كن عمليا. كما رأينا ، غالبا ما تؤدي متطلبات كلمة المرور الصارمة للغاية إلى نتائج عكسية. علاوة على ذلك ، قد لا يحسنون الأمن بالقدر المنشود. على سبيل المثال ، يلاحظ NIST أن تعقيد كلمة المرور ومتطلبات الطول لا تساعد في الدفاع ضد تسجيل ضغطات المفاتيح والتصيد الاحتيالي وهجمات الهندسة الاجتماعية.
قدم مدير كلمات المرور. تشجع إرشادات NIST المؤسسات على السماح للمستخدمين باستخدام مديري كلمات المرور لأن هذه الأدوات تسهل على المستخدمين اختيار كلمات مرور طويلة ومعقدة دون القلق بشأن نسيانها وإغلاقها. باستخدام مدير كلمات المرور ، يمكنك بثقة اعتماد متطلبات الطول والتعقيد التي تعمل بشكل أفضل لمؤسستك.
تحسين المصادقة - لا تزال معظم المؤسسات تستخدم كلمات المرور كعامل مصادقة أساسي. يذكر NIST المؤسسات بأن المصادقة القائمة على المعرفة (مطالبة المستخدم بالإجابة على الأسئلة) ليست طريقة مقبولة للمصادقة. بالإضافة إلى ذلك ، فإن القياسات الحيوية مثل بصمات الأصابع ليست في حد ذاتها شكلا كافيا من أشكال المصادقة ، على الرغم من أنه يمكن استخدامها في المصادقة متعددة العوامل. لا تشجع إرشادات NIST على استخدام رسائل SMS في المصادقة متعددة العوامل.
اتبع نهجا متعمقا للأمن. تعد سياسات كلمات المرور القوية مهمة لكل مؤسسة ، ولكنها ليست سوى عنصر واحد من استراتيجية الأمن السيبراني الشاملة. تأكد من تنفيذ أفضل ممارسات الأمان الأساسية الأخرى ، مثل الإنفاذ الصارم لمبدأ الامتياز الأقل للتحكم بإحكام في الوصول إلى البيانات والأنظمة الحساسة.
كيف يمكن أن تساعد Netwrix
يمكن أن يمكنك اختيار الأدوات المناسبة من تحقيق الامتثال لإرشادات كلمة مرور NIST بشكل أسرع وأكثر فعالية. للمساعدة ، تقدم Netwrix حلا قويا لإدارة كلمات المرور. تشمل المنتجات الرئيسية ما يلي:

Netwrix Password Policy Enforcer ، مما يجعل من السهل إنشاء سياسات كلمات مرور قوية ومرنة مع تقديم تجربة إيجابية للمستخدمين.
Netwrix GroupID ، الذي يمكن المستخدمين من إعادة تعيين كلمات المرور الخاصة بهم وفتح حساباتهم ، مما يقلل من تكاليف مكتب المساعدة وإحباط المستخدم.
Netwrix Password Secure ، والذي يمكن المستخدمين من إدارة كلمات المرور الخاصة بهم بأمان والمسؤولين لإدارة الوصول المميز وتدقيق استخدام كلمة المرور.
استنتاج
إرشادات NIST هي المعيار الذهبي لتكوين كلمة المرور وسياسات إدارة كلمات المرور التي تحمي الأنظمة والبيانات الحساسة. تتضمن التغييرات الرئيسية من الإرشادات القديمة التأكيد على الطول على التعقيد وعدم الحاجة إلى تدوير كلمة المرور بانتظام.

الأسئلة المتداولة
ما هي إرشادات سياسة كلمة مرور NIST؟
يقدم NIST 800-63B ، "إرشادات الهوية الرقمية" ، توصيات لتكوين كلمة المرور وإدارة كلمات المرور. تتضمن إرشادات NIST الحالية ما يلي:

تفضل الطول على التعقيد.
اشترط أن تتكون كلمات المرور التي ينشئها المستخدم من 8 إلى 64 حرفا وأن تتكون كلمات المرور التي ينشئها المستخدم تلقائيا من 6 إلى 64 حرفا.
السماح باستخدام جميع أحرف ASCII ، بما في ذلك المسافات والرموز التعبيرية.
تحقق من كلمات المرور الجديدة للمرشح مقابل قائمة كلمات المرور الضعيفة والمخترقة.
عدم السماح بتلميحات كلمة المرور.
ما هو دليل كلمة مرور NIST 800-63؟
تعمل إرشادات كلمة مرور NIST 800-63B ، بعنوان "إرشادات الهوية الرقمية" ، كإطار عمل لمساعدة المؤسسات على تنفيذ أفضل الممارسات لكلمات المرور.

هل يوصي NIST بانتهاء صلاحية كلمة المرور؟
لا، لم يعد المعهد الوطني للمعايير والتكنولوجيا يوصي بمطالبة المستخدمين بتغيير كلمات المرور الخاصة بهم بانتظام، نظرا لأن سياسات انتهاء صلاحية كلمة المرور غالبا ما تتسبب في انخراط المستخدمين في ممارسات غير آمنة مثل تدوين كلمات المرور الخاصة بهم. بدلا من ذلك ، يجب أن تطلب المؤسسات تغيير كلمة المرور فقط عندما يكون هناك سبب وجيه ، مثل اختراق الحساب.

ما هي إرشادات كلمة المرور ل NIST 800-171؟
إرشادات كلمة مرور NIST 800-171 مفصلة في منشور NIST الخاص 800-171 المراجعة 3 ، "حماية المعلومات غير المصنفة الخاضعة للرقابة في الأنظمة والمؤسسات غير الفيدرالية".

ما هي معايير كلمة المرور لعام 2024؟
تحدد إرشادات كلمة مرور NIST معايير لمجموعة واسعة من التطبيقات المتعلقة بكلمة المرور ، بما في ذلك على سبيل المثال لا الحصر:

إزالة المصادقة القائمة على المعرفة
قبول الأحرف مثل الرموز التعبيرية أو شريط المسافة
قبول مديري كلمات المرور
إزالة تواريخ انتهاء صلاحية كلمة المرور والتلميحات
تفضيل الطول على التعقيد
تحديد الحد الأدنى والحد الأقصى للأطوال لكلمات المرور التي ينشئها المستخدم تلقائيا والمستخدم
كم من الوقت يجب أن تكون كلمات المرور في عام 2024؟
تنص إرشادات كلمة مرور NIST على أن كلمات المرور التي ينشئها المستخدم يجب أن تتكون من ثمانية إلى 64 حرفا ، بينما يجب أن تتكون كلمات المرور التي تم إنشاؤها تلقائيا من ستة إلى 64 حرفا