NIST выпустил обширный гайд для субъектов, взаимодействующих с государственными информационными системами через сеть. Как концепт может быть интересен нашим КВОИК’ам. Кратенько собрал основное в кучку:
Уровни уверенности в аутентификации (AAL)
🟢 Базовый уровень защиты (AAL1) — требует одну или несколько аутентификационных технологий, таких как пароль или ПИН. Используется для доступа к сервисам с невысокой критичностью. Для кого: если вы предоставляете услуги, где риск потери данных минимален (например, личный кабинет на сайте интернет-магазина), вам, вероятно, подойдёт этот уровень.
🔷 Средний уровень (AAL2) — применение двухфакторной аутентификации (2FA), например, комбинация пароля и одноразового кода (OTP), отправленного на устройство пользователя. Подходит для сервисов со средним уровнем риска. Для кого: если ваши данные требуют умеренной защиты (например, финансовые системы, системы здравоохранения), AAL2 будет оптимальным выбором.
🛑 Высокий уровень (AAL3) — аутентификация с использованием криптографических ключей, хранящихся в защищенных модулях, таких как аппаратные токены. Используется для доступа к высокорисковым сервисам. Для кого: если вы работаете с очень чувствительной информацией, такой как государственные данные или конфиденциальные коммерческие сведения, вам понадобится этот уровень.
Требования к аутентификаторам
🔑 Пароли и PIN-коды — пароли должны быть длиной не менее 8 символов и поддерживать сложные комбинации символов. Для повышения безопасности рекомендуются менеджеры паролей.
📲 Многофакторная аутентификация (MFA) — ключевая рекомендация заключается в использовании как минимум двух факторов: что-то, что пользователь знает (пароль), и что-то, что пользователь имеет (устройство, токен).
👁 Биометрическая аутентификация — возможна, но с оговорками: биометрические данные не должны быть единственным методом аутентификации, а также требуется надёжное шифрование данных.
Политики сброса и восстановления учетной записи
🔄 Политика восстановления — важно обеспечить безопасные и прозрачные процедуры восстановления учетных данных, такие как многофакторная проверка для восстановления доступа.
✉️ Использование почтовых сервисов — сброс пароля через почтовые сервисы рекомендуется только при наличии дополнительной проверки, такой как отправка одноразового кода на альтернативное устройство.
🔓 АмNISTия на смену пароля — согласно рекомендациям NIST, больше нет необходимости принуждать пользователей к регулярной смене паролей, если нет признаков компрометации учётных данных. Это изменение улучшает удобство использования и снижает риски, связанные с использованием слабых паролей после вынужденной смены.
Безопасность устройств
🖥 Физическая защита — для AAL2 и AAL3 важно обеспечить физическую защиту устройств, использующихся для аутентификации, чтобы предотвратить их кражу или копирование данных.
🛡 Защита на уровне ПО — операционные системы должны обеспечивать безопасную работу приложений для аутентификации и шифрование данных на устройствах.
tg: @shaposhnikovkz
#NIST #пароли #идентификация #защиитаданных
