Il National Institute of Standards and Technology (NIST) ha creato una guida alle password per le agenzie federali per garantire che le password raggiungano lo scopo previsto, impedendo l’accesso non autorizzato all’account. I consigli sulle password del NIST sono stati aggiornati di recente per includere le nuove best practice per le password e alcune delle migliori pratiche di lunga data per la sicurezza delle password sono state ora eliminate poiché, in pratica, stavano avendo un effetto negativo.
Le raccomandazioni sulle password del NIST per il 2021 sono dettagliate nella pubblicazione speciale 800-63B – Linee guida sull’identità digitale. Il documento è considerato il gold standard per la sicurezza delle password e deve essere seguito dalle agenzie federali, sebbene le raccomandazioni sulle password del NIST possano – e dovrebbero – essere seguite da tutte le aziende quando impostano le politiche sulle password e da tutte le persone che vogliono garantire la sicurezza dei propri conti e dati personali.
Riepilogo delle raccomandazioni per la password del NIST 2021
La pubblicazione speciale 800-63B è lunga 79 pagine, quindi per farti risparmiare un po’ di tempo, abbiamo fornito di seguito un riepilogo dei consigli sulle password del NIST per il 2021.
La lunghezza della password è più importante della complessità della password
Il NIST si è allontanato dalla complessità delle password e ora consiglia password più lunghe. L’applicazione di password complesse che contengono lettere maiuscole e minuscole, numeri e caratteri speciali garantirà la creazione di password complesse in teoria, ma in pratica, questi requisiti comportano la creazione di password deboli: Password123! ad esempio, soddisferebbe i requisiti di complessità ma non è una password complessa. Incoraggiare invece l’uso di passphrase e impostare la lunghezza massima del campo della password a 64 caratteri. La lunghezza della password, carattere per carattere, è più importante della complessità della password.
Non imporre la reimpostazione regolare della password
Gli esseri umani sono generalmente pessimi nel creare password, quindi far cambiare regolarmente le password ai dipendenti non aiuta. Ciò che tende ad accadere è che i dipendenti creeranno nuove password che sono praticamente identiche alle ultime e seguiranno schemi prevedibili durante la creazione di nuove password che gli attori delle minacce possono indovinare. In alternativa, sceglieranno password di uso comune o password più deboli ogni volta che è richiesta una modifica. La reimpostazione della password deve essere eseguita solo se si sospetta che una password sia stata compromessa.
Esegui lo screening di tutte le nuove password rispetto a elenchi di password comunemente utilizzate e compromesse
Non importa quanto sia complessa una password, se è conosciuta da qualcuno diverso dal titolare dell’account non è sicura. Dovresti controllare tutte le nuove password e assicurarti che non siano incluse negli elenchi di password comunemente utilizzate, non siano parole del dizionario, stringhe sequenziali di numeri o lettere e controlla che non siano incluse negli elenchi di password compromesse in violazioni dei dati.
Consenti l’incollaggio delle password
Impedire l’incollaggio delle password è estremamente frustrante, soprattutto se combinato con i requisiti di complessità delle password. Rallenta la creazione di account e l’accesso e incoraggia gli utenti a impostare password deboli. Consentendo di incollare le password, significa che i gestori di password possono compilare automaticamente i campi, il che rende la vita molto più semplice.
Abilita mostra password durante la digitazione
Se un utente digita una password complessa e commette un errore di battitura, non saprà dove è stato commesso l’errore e dovrà ricominciare da capo. Se si consente la visualizzazione delle password, è molto più semplice per gli utenti. Potranno decidere se c’è qualcuno che naviga sulle spalle e se visualizzare o meno la password. Non consentire questo e incoraggia la creazione di password deboli.
Limita il numero di tentativi di password non riusciti prima del blocco dell’account
È molto più probabile che gli attacchi di forza bruta per indovinare le password abbiano successo se non ci sono limiti al numero di tentativi di accesso non riusciti. Impostando un blocco dell’account dopo 3 o 5 tentativi di password non riusciti, gli attacchi di forza bruta saranno più difficili poiché l’hacker avrà meno tentativi di indovinare la password.
Implementare l’autenticazione a 2 fattori
Assicurati che il fattore 2 sia implementato sugli account. Ciò richiede un metodo di identificazione aggiuntivo oltre alla password. Se la password viene compromessa, ad esempio in un attacco di phishing, senza l’altro fattore, l’accesso all’account non verrà concesso.
Password salt e hash
Le raccomandazioni per le password del NIST ora includono l’obbligo di salare le password con almeno 32 bit di dati e di garantire che siano sottoposti a hash con una funzione di derivazione della chiave unidirezionale.