【転載】CIS パスワードポリシーガイド。パスフレーズ、監視など - CIS

CIS パスワード ポリシー ガイド: パスフレーズ、監視、その他 - CIS:



ホーム • リソース • ブログ • CISパスワードポリシーガイド:パスフレーズ、モニタリング、その他
それらを愛するか、それらを嫌うが、パスワードは間違いなく時間テストされ、不完全な 正しく使用された場合、サイバー攻撃から組織を保護することができるユーザー認証のための方法でした. しかし、組織のパスワード ポリシーを本当に有効にするには、不正アクセスを防止するための追加の防御戦略を含める必要があります。

新しいパスワード ポリシーの標準は、現実世界の攻撃データを活用し、それを 、ユーザー 、パスワードの作成と記憶を容易にするという 2 つの主要な原則に基づいています。

組織は、これらの新しい標準に準拠するために、更新されたツールとポリシーを採用する必要があります。これには、パスワード作成、多要素認証 (MFA)、アカウント ロックアウト、およびその他の保護対策に対する新しいアプローチが含まれます。

2020 年 7 月に公開された CIS パスワード ポリシー ガイドでは、この新しいパスワード ガイダンスを 1 つのソースに統合します。このわかりやすいガイドでは、ベスト プラクティスを提供するだけでなく、推奨事項の背後にある理由を説明します。最も一般的なパスワード ハッキング手法に関する情報と、攻撃を防ぐためのベスト プラクティスの推奨事項が含まれています。このガイドは、CIS ベンチマークと CIS コントロールの開発に使用される、コミュニティ主導のコンセンサス ベースのプロセスを通じて開発されました。
ユーザーがパスワードを作成して記憶するのを支援するために、このガイドには次のようなヒントが用意されています。
  • パスワードの代わりに「パスフレーズ」を使用する   -- 長さは、良いパスワードの最も重要な側面です。しかし、一つの長い単語は覚えておくのが難しいだけでなく、綴るのも難しいです。CapeCodisaFunPlaceのような多くの単語を含むパスフレーズは、覚えやすく、クラックするのが難しくなります。
  • 個人情報に関連する言葉を使用しないでください  - 攻撃者がインターネット上であなたについて調べることができるものを避けてください。あなたは地元のマスタングカークラブの会長である場合は、パスワードとして「マスタング」を使用しないでください。
  • 辞書語の使用を制限する:  一般に、敵対者がパスワードを攻撃する方法は、最初に辞書内の単語のさまざまな組み合わせを試みることによって行われます。これは多くの言葉ですが、可能なすべての文字の組み合わせを試すよりもはるかに少ないです。パスフレーズに非辞書代替を使用する:  Th3F0rdMust@ngis #1
このガイドには、パスワードおよびアクセスシステムの管理責任者のためのオプションも含まれています。

  • 多要素認証 (MFA)  -- MFA (2 要素認証 (2FA) とも呼ばれる) を使用すると、ユーザーはアカウントにログインする際に 2 つ以上の evidence  を提示できます。MFA は、現在市場で入手可能な最も安全なユーザー認証方法であり、ユーザビリティへの影響は最小限です。
  • 提供パスワードマネージャ - パスワードで作成されたシステム生成パスワード managerは、人間が作成したパスワードよりもはるかに強力です。しかし、ユーザーは結果を覚えていないでしょう:   GHj *65%789JnF4$#$68IJHr54^78 . パスワードマネージャーはユーザーのパスワードの保存と管理を担当します。
  • より高度なアクセス ロックアウト手法を使用する -- 5 回連続して失敗した後に一時的なロックアウト(15分以上)を強制するか、ログインスロットルの失敗と組み合わせてログインの監視に時間を費やしたりすることは、パスワードだけに焦点を当てるよりもはるかに効果的です。
「CIS パスワード ポリシー ガイド」には、さらに詳しい推奨事項が記載されています。これには、次のようなものがあります。

  • システム・ベースのパスワード作成を支援
  • 役に立つポリシー
  • 広範な参照
これらの推奨事項を適用することで、組織が現在利用可能なパスワード管理に関する最新の制御を実装できるようになります。
Download
著作権© 2020

インターネット セキュリティセンター®



ーー以下原文ーー



Home • Resources • Blog • CIS Password Policy Guide: Passphrases, Monitoring, and More




Love them or hate them, but passwords have undeniably been a time-tested and imperfect method for user authentication that can protect organizations from cyber-attacks if used correctly. To be truly effective however, an organization's password policy must include additional defensive strategies to prevent unauthorized access.

New password policy standards are based on two primary principles: leveraging real-world attack data and making it easier for users to create and remember passwords.

Organizations need to employ updated tools and policies to conform to these new standards. These include new approaches to password creation, multi-factor authentication (MFA), account lockouts, and other safeguards.

The CIS Password Policy Guide released in July 2020 consolidates this new password guidance into a single source. This easy-to-follow guide not only provides best practices but explains the reasoning behind the recommendations. It includes information on the most common password hacking techniques, along with best practice recommendations to prevent attacks. The Guide was developed through the same community-driven, consensus-based process used to develop the CIS Benchmarks and CIS Controls.
To assist users with creating and remembering passwords, the Guide offers tips, some of which are:
  • Use "passphrases" instead of passwords -- Length is the most important aspect of a good password. However a single long word is not only difficult to remember, it's also difficult to spell. A passphrase containing a number of words, such as CapeCodisaFunPlace, is both easier to remember and harder to crack.


  • Don't use words related to your personal information -- Avoid things that attackers can look up about you on the internet. If you are the president of the local Mustang car club, you shouldn't use “Mustang” as a password.
  • Limit using dictionary words: In general, the way adversaries attack passwords is by trying various combinations of words in the dictionary first. This is a lot of words, but a lot fewer than trying all the possible letter combinations. Use non-dictionary alternatives for passphrases, for example: Th3F0rdMust@ngis#1
The Guide also includes options for those responsible for managing password and access systems:

  • Use Multi-Factor Authentication (MFA) -- MFA, sometimes referred to as Two-Factor Authentication (2FA), allows the user to present two, or more, pieces of evidence when logging in to an account. MFA is the most secure user authentication method available on the market today, and has minimal impact on usability.
  • Offer Password Managers -- System generated passwords created by a password manager are much stronger than human-created passwords. Users will likely not remember the result however, which will look something like this: GHj*65%789JnF4$#$68IJHr54^78. So, the password manager takes care of the storage and management of that password for the user.
  • Use more sophisticated access lockout techniques -- Enforcing temporary lockouts (15 minutes of more) after five consecutive failed attempts, or using time doubling login throttling techniques, combined with failed login monitoring can be much more effective than focusing solely on the password
There are many more detailed recommendations contained in the CIS Password Policy Guide. These include:

  • System-based assists for password creation
  • Helpful policies
  • Extensive references
Applying these recommendations will ensure an organization implements the most up-to-date controls regarding password management available today.
Download