Proposte del NIST sui requisiti delle password
Il National Institute of Standards and Technology (NIST) ha recentemente proposto di eliminare alcune delle più problematiche e assurde regole relative alle password. Tra queste, l’abolizione dei reset obbligatori, l’imposizione o la restrizione dell’uso di determinati caratteri e l’utilizzo di domande di sicurezza sono stati messi in discussione. Tali requisiti sono stati introdotti in un’epoca in cui la sicurezza delle password era poco compresa; ora sono considerati obsoleti e controproducenti nel contesto della cybersicurezza moderna.
La nuova versione delle linee guida, SP 800-63-4, rilasciata dal NIST, include raccomandazioni che introducono una dose di buon senso necessaria per affrontare pratiche comuni. Tra le novità più rilevanti, si sottolinea che gli utenti non dovrebbero più essere costretti a cambiare periodicamente le proprie password, un requisito che, nel tempo, ha dimostrato di ridurre la sicurezza complessiva. Questo perché la pressione a cambiare frequentemente le password porta le persone a scegliere combinazioni più deboli che riescono a memorizzare.
![TCL - Moveaudio S600 Cuffie wireless (cancellazione attiva del rumore, tecnologia ANC, Bluetooth 5.0, ricarica rapida, custodia con ricarica wireless, IP54, controllo touch) Pearl White [Italia]](https://m.media-amazon.com/images/I/21xRrg1Nk6L._SS520_.jpg)
In aggiunta, il NIST afferma che i verifcatori e i fornitori di servizi di autenticazione (CSP) non dovrebbero più imporre regole di composizione per le password, come la necessità di includere lettere maiuscole, numeri o caratteri speciali. Queste restrizioni, quando le password sono sufficientemente lunghe e generate casualmente, si sono rivelate superflue e persino dannose. Le nuove linee guida stabiliscono che:
- Verifiers e CSPs non devono imporre regole di composizione per le password.
- È necessario che vengano imposte modifiche delle password solo in caso di compromissione dell’autenticatore.
Queste proposte mirano a semplificare il processo di autenticazione, rendendo più facile per gli utenti creare e gestire password forti, senza comprometterne la sicurezza.
Evoluzione delle linee guida sulle password
Le linee guida del NIST sono evolute nel tempo, rispondendo alle esigenze emergenti nel campo della sicurezza informatica. In passato, le raccomandazioni sulla gestione delle password erano basate su un modello di sicurezza che si è rivelato più reattivo che proattivo. Le informazioni riguardo alle vulnerabilità e alle pratiche di hacking hanno spinto le organizzazioni a implementare requisiti sempre più rigidi, ma spesso non adeguati per affrontare le minacce attuali.
L’introduzione del requisito di cambiare le password ogni pochi mesi, per esempio, rifletteva una comprensione limitata di come i criminali informatici operassero. Questo principio, sebbene con buone intenzioni, ha portato molti utenti a creare password più deboli e a registrare le loro combinazioni in modi poco sicuri. Le linee guida più recenti hanno quindi riconosciuto che mantenere password lunghe e complesse, piuttosto che cambiarle frequentemente, è un approccio più efficace per proteggere gli account.
Inoltre, il NIST ha iniziato ad incorporare nella sua strategia la considerazione che le password dovrebbero essere uniche e non dovrebbero essere soggette a modalità di creazione restrittive, che spesso portano a risposte prevedibili e facilmente attaccabili. Le nuove linee guida enfatizzano l’importanza della lunghezza e della casualità, in quanto una password complessa può fornire una sicurezza superiore rispetto a quelle create seguendo regole di composizione eccessivamente severe.
Ad esempio, le linee guida recenti stabiliscono che:
- I verifcatori e i CSP devono richiedere password con una lunghezza minima di otto caratteri, preferibilmente quindici o più.
- Si incoraggia l’uso di tutte le lettere ASCII e dei caratteri Unicode nelle password, permettendo una maggiore flessibilità.
Questa evoluzione, guidata da una comprensione più profonda delle dinamiche di sicurezza e delle abitudini degli utenti, rappresenta un passo significativo verso pratiche più razionali e meno vigili, mirate a proteggere efficacemente le identità digitali.
Cambiamenti nei requisiti delle password
Le nuove linee guida del NIST introducono modifiche significative ai requisiti per le password, promuovendo una visione più razionale e pratica della sicurezza digitale. Un aspetto fondamentale è l’abolizione dell’obbligo di cambiare le password a intervalli regolari, un principio che ha dominato le politiche di sicurezza per decenni. Secondo le nuove raccomandazioni, i cambiamenti delle password devono avvenire solo in caso di sospetta compromissione dell’autenticatore. Questo approccio riconosce che, quando le password sono create in modo sicuro e non condivise, la necessità di modificarle frequentemente può effettivamente indebolire la sicurezza complessiva.
Inoltre, i verifiers e i CSP non possono più imporre regole restrittive sulla composizione delle password, come la necessità di includere caratteri speciali, numeri o una combinazione di lettere maiuscole e minuscole. Tali requisiti, che in passato erano considerati standard, hanno dimostrato di essere inadeguati, poiché le password lunghe e casuali offrono una protezione superiore senza necessità di complicate regole di composizione. Le linee guida stabiliscono pertanto che:
- Le password devono avere una lunghezza minima di otto caratteri, con una raccomandazione di raggiungere almeno quindici caratteri.
- I verifiers e i CSP devono permettere una lunghezza massima della password non inferiore a sessantaquattro caratteri e accettare tutti i caratteri ASCII stampabili e i caratteri Unicode.
Queste modifiche valorizzano la semplicità e l’efficacia, consentendo agli utenti di creare password robuste senza inutili complessità. Inoltre, il NIST ha stabilito che non è permesso memorizzare suggerimenti delle password accessibili a soggetti non autenticati, attestando un ulteriore impegno per la sicurezza degli utenti. Un altro aspetto fondamentale è l’eliminazione delle domande di sicurezza come metodo di autenticazione. Le domande di sicurezza, spesso prevedibili e facilmente attaccabili, non offrono più la protezione necessaria nel contesto attuale di minacce digitali.
Critiche alle regole esistenti
Le critiche rivolte alle regole attualmente in vigore relative alle password non sono nuove, e negli ultimi anni si sono intensificate, provenendo da esperti di sicurezza, ricercatori e utenti consapevoli. Molti sostengono che i requisiti obbligatori di composizione delle password e il cambio periodico non solo siano obsoleti, ma anche dannosi per la sicurezza generale degli account. L’idea che password complesse, cariche di caratteri speciali e cambiamenti frequenti possano migliorare la sicurezza è stata messa in discussione, evidenziando che tali pratiche spesso portano gli utenti a creare password più deboli, più facilmente dimenticabili o scritte su post-it e altri supporti non sicuri.
In particolare, le regole che richiedono l’uso di caratteri specifici hanno dimostrato di essere poco efficaci. Gli utenti, messi sotto pressione da requisiti fastidiosi, finivano per scegliere combinazioni prevedibili o di ricorrere a tecniche di creazione di password che non garantivano una reale protezione. Secondo gli esperti, invece, una password lunga e casuale, priva di restrizioni sulla composizione, sarebbe effettivamente più sicura.
Inoltre, l’insistenza sul cambiamento frequente delle password è stata severamente criticata per il fatto che induce gli utenti a una mentalità di “sette giorni” e a creare password più deboli, piuttosto che riflettere sull’importanza di mantenere password sicure nel tempo. Molte organizzazioni, dai settori bancari ai servizi online, hanno continuato a seguire queste regole, nonostante le prove crescenti che suggerivano la loro inefficacia.
La resistenza a cambiamenti significativi nella gestione delle password ha portato a frustranti esperienze per gli utenti, spesso già sopraffatti dalla necessità di ricordare varie credenziali. Le nuove linee guida NIST forniscono un’opportunità per tali organizzazioni di rivedere le loro politiche e adattarle a standard basati su evidenze più aggiornate e scientificamente supportate.
Impatto delle nuove linee guida
Le recenti proposte del NIST hanno il potenziale di trasformare radicalmente il panorama della gestione delle password, portando a un miglioramento significativo della sicurezza informatica. L’abolizione delle regole che impongono il cambiamento periodico delle password è destinata a creare un ambiente in cui gli utenti possano sentirsi più a proprio agio nell’adottare e mantenere password complesse e sicure. Eliminando questa pressione, gli utenti saranno meno inclini a scegliere opzioni più deboli pur di soddisfare requisiti frustranti.
Inoltre, le nuove linee guida incoraggiano l’uso di password lunghe e casuali. Questo approccio riflette una comprensione più moderna delle vulnerabilità informatiche e delle tecniche di attacco. Con password di almeno otto caratteri e una raccomandazione di estenderle a un minimo di quindici caratteri, il NIST promuove pratiche che possono ridurre notevolmente il rischio di accessi non autorizzati. La messa in pratica di tali standard potrebbe ridurre significativamente il numero di attacchi informatici basati su password deboli e comunemente utilizzate.
La possibilità di includere tutti i caratteri ASCII e Unicode nelle password rappresenta un ulteriore passo avanti, aumentando la versatilità e la creatività nella creazione di password. Ciò potrebbe incoraggiare gli utenti a utilizzare frasi complesse e uniche anziché le tradizionali password rigide e complesse, spesso create per soddisfare regole obsolete. Di conseguenza, si prevede che il numero di password facilmente indovinabili diminuisca, migliorando la sicurezza complessiva.
Con l’introduzione di regole più sensate, ci si aspetta anche un cambiamento culturale nell’approccio alla sicurezza delle informazioni. L’accettazione di queste linee guida potrebbe spingere banche, servizi online e altre organizzazioni a rivedere le loro politiche di sicurezza, armonizzandole con le raccomandazioni del NIST e, nel contempo, rendendo più facile per gli utenti mantenere una buona igiene digitale.
Possibilità di attuazione e feedback pubblico
Il NIST ha aperto le porte al dibattito sulle nuove linee guida, invitando il pubblico a fornire feedback su queste proposte cruciali. Fino all’11 ottobre, chiunque sia interessato ha l’opportunità di inviare commenti attraverso l’indirizzo e-mail designato, dig-comments@nist.gov. Questo approccio non solo incoraggia la trasparenza, ma mira anche a garantire che le linee guida finali riflettano una vasta gamma di opinioni e esperienze, inclusi esperti di sicurezza informatica, organizzazioni e utenti finali.
La possibilità di implementare queste nuove normative dipenderà in gran parte dalla reazione del pubblico e dalle pratiche che gli enti governativi e le organizzazioni private decideranno di adottare. Mentre le affermazioni del NIST non sono legalmente vincolanti, esse possono fungere da guida influente e da base per l’adeguamento delle politiche di sicurezza esistenti nel settore pubblico e privato. Con l’acquisizione di prove sempre più evidenti riguardo all’inefficacia dei requisiti tradizionali, è possibile che molte istituzioni siano pronte ad abbracciare il cambiamento e abbandonare pratiche che hanno dimostrato il loro fallimento.
Le reazioni anticipate potrebbero variare: da un’accoglienza entusiasta da parte di chi è stanco delle restrizioni eccessive, a una resistenza da parte di coloro che continuano a ritenere utili le regole obsolete. Ciò che è certo è che il dibattito in corso solleva domande importanti sulla sicurezza delle password nel contesto attuale, dove le minacce sono in continua evoluzione e le pratiche obsolete possono compromettere la protezione degli utenti.
Il NIST si trova davanti a un’opportunità unica: non solo di cambiare le regole del gioco riguardante la gestione delle password, ma anche di formare un consenso globale attorno a ciò che costituisce una pratica di sicurezza efficace. Il feedback raccolto potrebbe non solo influenzare le sue linee guida, ma anche servire da volano per spingere l’intera comunità della sicurezza informatica verso un’adozione più ampia di principi basati su evidenze, favorendo un ambiente di sicurezza più solido e accessibile per tutti.
