Nová pravidla pro bezpečná hesla (v roce 2025) podle NIST
Digitální bezpečnost je oblast, která vyžaduje neustálou pozornost k aktuálním standardům a postupům. Významným posunem v této oblasti je aktualizace směrnice pro správu hesel publikovaná americkým Národním institutem pro standardy a technologie (NIST) pro rok 2025. Tento článek se zaměřuje na hlavní změny, které NIST přináší, a poskytuje praktické rady, jak je efektivně implementovat do firemních IT systémů. Cílem je pomoci porozumět významu těchto změn nejen z hlediska bezpečnosti, ale také z hlediska souladu s legislativními požadavky, které mají zásadní dopad například na GDPR nebo HIPAA.
NIST směrnice představují celosvětový rámec pro nastavování a správu hesel nejen ve státní správě, ale stále častěji i v komerčním sektoru. Odráží reálné potřeby v oblasti bezpečnosti a staví na výzkumu místo zastaralých předpokladů.
Mezi hlavní novinky patří zvýšení doporučené délky hesel - aktuálně NIST doporučuje rozsah 8 až 64 znaků. Tento posun upřednostňuje snadno zapamatovatelné, ale dlouhé hesla před složitými, avšak krátkými a často opakovanými hesly. Výraznou změnou je opuštění povinných periodických změn hesel, které byly v minulosti povážovány za bezpečnostní nutnost, nově se přistupuje k výměně hesla pouze v případě prokazatelného kompromitování účtu.
Požadavky na speciální znaky, kombinace velkých a malých písmen, vedou často ke vzniku předvídatelných kombinací, které hackeři snadno odhadnou. Místo toho je vhodné použít všechny typy znaků včetně mezer a uživatele povzbudit k tvorbě unikátních a zapamatovatelných heslových frází (passphrase).
Dále NIST doporučuje zavedení dynamických bloklistů – tedy aktivních seznamů zakázaných hesel, například těch, která byla odhalena v únicích dat, obsahují jméno firmy nebo zaměstnance, případně vykazují běžné vzorce. Zcela se opouštějí zastaralé mechanismy obnovy za pomocí znalostních otázek, které jsou často ovlivnitelné informacemi ze sociálních sítí, a přechází se na silnější způsoby ověření identity, jako jsou jednorázové ověřovací kódy nebo bezpečnostní odkazy. Důraz je rovněž kladen na využívání moderních bezpečnostních nástrojů – například omezení neúspěšných pokusů o přihlášení, nastavení vícefaktorové autentizace (MFA) a nasazení firemní správy hesel, které automatizují tvorbu, ukládání i bezpečný přístup ke složitým unikátním přístupovým údajům.
Pro firmy, které chtějí implementovat nové požadavky doporučené NIST, je prvním krokem komplexní audit současných politik a procesů. Následuje technická úprava systémů, aby podporovaly delší hesla, možnost využívat mezery i speciální znaky a zároveň odstranění zbytečných složitostních požadavků na kombinace znaků. Blocklist by měl být pravidelně aktualizován a propojen s externími databázemi úniků. Dále je vhodné zvýšit míru bezpečnosti díky vícefaktorové autentizaci a pro uživatele zavést efektivní školení a komunikaci ohledně novinek, včetně představení nástrojů pro správu hesel. Právě tyto nástroje jsou klíčové díky schopnosti generovat silná hesla a eliminovat jejich opakované používání napříč službami.
Nové požadavky NIST nejsou pro všechny organizace povinné, avšak řada regulovaných oblastí (finance, zdravotnictví a další) je již v tuto chvíli začleňuje do legislativních rámců. Z pohledu spolehlivosti, flexibility i efektivity zabezpečení je proto vhodné je implementovat již nyní – zvyšujete tak jak odolnost vůči stále sofistikovanějším kybernetickým útokům, tak i jistotu při auditech a kontrole souladu s legislativou.
Správná a včasná implementace nových postupů při správě hesel představuje základní stavební kámen kybernetické bezpečnosti. Komplexní přístup, který zahrnuje revizi procesů, technologické úpravy, implementaci moderních nástrojů a vzdělávání zaměstnanců, poskytuje nejlepší ochranu před kompromitací dat a zajišťuje vysokou úroveň bezpečnosti v celé organizaci. V případě zájmu o bezpečnostní audit, nastavení firemního správce hesel, nebo zavedení vícefaktorové autentizace nás neváhejte kontaktovat.