Showing posts with label Password. Show all posts
Showing posts with label Password. Show all posts

Sunday, September 29, 2024

NIST Updates Password Security Guidelines

The National Institute of Standards and Technology (NIST) has released new guidelines for password security, marking a significant shift from traditional practices. Key changes include:

  • Password Complexity: NIST no longer recommends complex requirements like mixing characters. Instead, they emphasize longer passwords, suggesting a minimum of 8 characters and allowing up to 64 characters for passphrases.
  • Periodic Changes: Mandatory periodic password changes are discouraged. Passwords should only be changed when there’s evidence of compromise.
  • Weak Passwords: Organizations should block commonly used or compromised passwords and avoid password hints or knowledge-based questions.
  • Multi-Factor Authentication: NIST strongly encourages the use of multi-factor authentication (MFA) for added security.
---
NIST Special Publication 800-63B. (n.d.). https://pages.nist.gov/800-63-4/sp800-63b.html#passwordver
Baran, G. (2024, September 27). NIST recommends new rules for password security. Cyber Security News. https://cybersecuritynews.com/nist-rules-password-security/#google_vignette

Thursday, May 30, 2024

ตัวอย่างความเสี่ยงเกี่ยวกับรหัสผ่าน และมาตรการควบคุม

Risk

Control

Weak Passwords

1.     Password Strength Meter

2.     Password minimum length = 12

3.     Password complexity = 4

(Uppercase (A-Z), Lowercase (a-z), Numbers (0-9), Special characters (#, %, etc.)

Password Reuse

1.     Minimum password duration = 0

2.     Maximum password duration = 0

3.     Password history = 4

Brute Force Attacks

1.     Captcha Implementation

2.     Logon attempt before lockout = 6

3.     Lockout duration = 30 min

4.     Reset logon attempts = 30 min

5.     Account Login/out or Lockout Notification

Credential theft

1.     Least Privilege Principle/Just-In-Time       Privileges

2.     Multi-Factor Authentication (MFA)

3.     Regular Password Changes

4.     Database Activity Monitoring

5.     Encrypted Storage

6.     Behavioral Analytics

7.     Security Awareness Training

Keylogging

1.     Only business devices are allowed to access the internal network.

2.     Anti-Virus/Malware

3.     Patch Management

4.     Endpoint Detection and Response (EDR)

5.     Secure Input Methods

6.     VA/Pentest

7.     Do not allow user to install program/application on device

8.     Device Hardening

Insider Threat

1.     Segregation of duty/Role-Based Access Control (RBAC)

2.     User review

3.     Change Management

4.     Log review

5.     User Behavior Analytics (UBA)

6.     Whistleblower Policy

Data breach

1.     Data Encryption

2.     On-premises

3.     Data Loss Prevention (DLP)

4.     Role-Based Access Control (RBAC)

5.     User review

6.     Monitoring/ Regular Audits

Unplan downtime

1.     Implement High Availability (HA) solutions

2.     Redundancy

3.     Incident response (SLA = ?h)

4.     Backup/Restore

5.     Regular Testing

Friday, May 17, 2024

Password Guideline --- แนวทางการตั้งค่ารหัสผ่าน

Category

Parameter name

Guidelines

Explain

 Aging

 

 

Minimum password duration

1 Day

The shortest time you must wait before changing your password again.

เวลาสั้นที่สุดที่จะต้องรอก่อนเปลี่ยนรหัสผ่านอีกครั้ง

ทั้งนี้เพื่อป้องกันผู้ใช้ไม่ให้เปลี่ยนรหัสผ่านหลายครั้งในระยะเวลาอันสั้นเพื่อกลับมาใช้รหัสผ่านที่ชื่นชอบ

Maximum password duration

90 Day

The longest time you can use the same password before you need to change it.

เวลาที่ยาวที่สุดที่คุณสามารถใช้รหัสผ่านเดิมได้ก่อนที่ต้องเปลี่ยนใหม่

ทั้งนี้การเปลี่ยนรหัสผ่านเป็นประจำช่วยจำกัดความเสียหายที่อาจเกิดจากการละเมิดรหัสผ่าน

Password history

5

The number of previous passwords the system remembers to prevent you from reusing them.

จำนวนรหัสผ่านก่อนหน้าที่ระบบจะจำเพื่อป้องกันไม่ให้คุณใช้ซ้ำ

ทั้งนี้เพื่อป้องกันไม่ให้ผู้ใช้กลับมาใช้รหัสผ่านเดิมเร็วเกินไป ทำให้เกิดการสร้างรหัสผ่านใหม่และไม่ซ้ำกัน ซึ่งจะทำให้ยากต่อการคาดเดาของผู้ประสงค์ร้าย

Minimum length

12

The fewest characters your password must have.

จำนวนตัวอักษรที่น้อยที่สุดที่รหัสผ่านของคุณต้องมี

ทั้งนี้แม้การใช้จำนวนอักษรที่มากจะทำให้เกิดความปลอดภัยแต่ก็แลกมาด้วยความยากในการจดจำรหัสผ่านนั้น ๆ ความยาว 12 ตัวอักษรเป็นสมดุลที่ดีระหว่างความปลอดภัยและความสะดวกของผู้ใช้ ทำให้รหัสผ่านมีความยาวเพียงพอในการต่อต้านการโจมตีแบบ brute-force

 Complexity

 

 

 

Complexity

Yes (4 Levels)

Requirements for your password to include a mix of uppercase letters, lowercase letters, numbers, and special characters.

ข้อกำหนดให้รหัสผ่านของคุณมีการผสมผสานระหว่างอักษรตัวพิมพ์ใหญ่, อักษรตัวพิมพ์เล็ก, ตัวเลข และอักขระพิเศษ

การกำหนดความซับซ้อนทำให้รหัสผ่านยากต่อการคาดเดาหรือแคร็กโดยใช้วิธีการอัตโนมัติ

Uppercase (A-Z)

Yes

Lowercase (a-z)

Yes

Numbers (0-9)

Yes

Special characters (#, %, etc.)

Yes

 Lockout

 

Logon attempt before lockout

5

The number of times you can try to log in before your account is temporarily locked.

จำนวนครั้งที่คุณสามารถพยายามล็อกอินได้ก่อนที่บัญชีของคุณจะถูกล็อกชั่วคราว

โดยการลดจำนวนครั้งที่อนุญาตให้ล็อกอินก่อนถูกล็อก ช่วยลดโอกาสที่ผู้โจมตีจะคาดเดารหัสผ่านโดยใช้วิธีการลองผิดลองถูก

Lockout duration

30 min

The time your account will be locked if you exceed the allowed number of login attempts.

เวลาที่บัญชีของคุณจะถูกล็อกหากคุณล็อกอินผิดเกินจำนวนครั้งที่อนุญาต

น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป

Reset logon attempts

30 min

The time after which the count of unsuccessful login attempts is reset.

ระยะเวลาที่จำนวนครั้งที่ล็อกอินไม่สำเร็จจะถูกรีเซ็ต

น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป

Others

 

Password change at the first logon

Yes

Requires you to change your password the first time you log in.

กำหนดให้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งแรก

เป็นการทำให้มั่นใจว่ารหัสผ่านเริ่มต้น (ซึ่งมักตั้งโดยผู้ดูแลระบบ) จะถูกเปลี่ยนทันทีโดยผู้ใช้ให้เป็นสิ่งที่ผู้ใช้รู้เพียงคนเดียว

Multi Factor Authentication

Required

An additional security step requiring a second form of verification besides your password.

ขั้นตอนการยืนยันตัวตนเพิ่มเติมนอกจากรหัสผ่าน

โดย  MFA จะช่วยเพิ่มระดับความปลอดภัยเพิ่มเติม ทำให้ผู้โจมตียากขึ้นมากกว่าการเข้าถึงโดยใช้รหัสผ่านเพียงอย่างเดียว