Un recente sondaggio ha mostrato che due terzi delle aziende non cambiano le password. Il ragionamento alla base di questa statistica è ancora più preoccupante, poiché oltre la metà dei dipendenti evita di farlo perché teme di dimenticare le nuove password, pensa che questa pratica sia fastidiosa o semplicemente non ne vede l'utilità.
Politiche di gestione delle password sane e solide sono essenziali. Sia le aziende che i dipendenti devono comprendere l'importanza di implementare pratiche di password adeguate. Il National Institute of Standards and Technology (NIST) fornisce linee guida per le password che sono considerate il gold standard per la privacy generale e la conformità alla sicurezza dei dati negli Stati Uniti.
All'inizio di quest'anno, i funzionari del NIST hanno anticipato potenziali modifiche alle loro raccomandazioni sulla sicurezza. Con questo in mente, vogliamo dare un'occhiata alle attuali linee guida sulle password del NIST per il 2021 per aiutarti a riconoscere le migliori pratiche di password per proteggerti dalle attuali minacce alla sicurezza informatica.
Linee guida NIST per la password
Dal 2014, il National Institute of Standards and Technology ha emanato linee guida, raccomandazioni e controlli per l'autenticazione dell'identità, comprese pratiche ottimali per le policy sulle password.
Queste linee guida si sono evolute nel corso degli anni, in quanto vi sono state diverse revisioni, in particolare nel 2017 e nel 2019. Le linee guida sulle password del NIST trattano le pratiche cruciali per la creazione e la gestione delle password e i requisiti per la convalida di queste password.
L'obiettivo principale delle linee guida per le password del NIST è creare password sicure per utenti e aziende e controllare rigorosamente l'accesso privilegiato. Queste linee guida consentono alle organizzazioni e alle aziende di proteggersi meglio da credential stuffing, attacchi di forza bruta e altri tentativi di intrusione. Tenendo presente tutto ciò, diamo prima un'occhiata ai consigli sulle password obsolete e poi passiamo alle ultime linee guida del NIST per le password per il 2021.
Consigli password obsolete
La maggior parte delle aziende applica pratiche di password obsolete, basate su una serie di criteri fondamentali. Questi criteri generalmente includono tre linee guida principali per la sicurezza della password:
- Forzare modifiche regolari della password
- Richiesta che ogni nuova password sia univoca e non sia mai stata utilizzata in precedenza in alcuna forma
- Assicurarsi che ogni password sia complessa e composta da caratteri alfabetici (minuscoli e maiuscoli) e numerici e altri simboli speciali
Queste linee guida sono ampiamente accettate da molte aziende e vengono utilizzate da decenni. Sebbene non ci sia nulla di intrinsecamente sbagliato nelle politiche sopra elencate, non sono abbastanza sofisticate da supportare i moderni requisiti di sicurezza.
Il fatto che circa il 57% delle persone utilizzi ancora queste pratiche obsolete significa che la porta per gli attacchi di phishing e malware è ancora molto aperta per gli aggressori. Ci siamo abituati ai consigli obsoleti e dobbiamo applicare nuove pratiche di gestione delle password per garantire la massima sicurezza. Questo ci porta al prossimo argomento cruciale
Consigli su password aggiornate
Il NIST ha pubblicato una serie rivista di linee guida che coprono le pratiche di sicurezza consigliate che si applicano meglio all'ambiente odierno. Questo argomento richiede un intero articolo a sé stante, quindi non entreremo in tutti i piccoli dettagli. Detto questo, vogliamo dare un'occhiata da vicino alle ultime raccomandazioni sulle password relative alle pratiche di sicurezza esistenti:
Caratteri alfanumerici
Il sistema di password alfanumeriche sembra esistere dai tempi delle password stesse. La combinazione di lettere minuscole e maiuscole con numeri e caratteri speciali per rendere una password più sicura è una pratica adottata da quasi tutti i sistemi di sicurezza al giorno d'oggi.
Tuttavia, le linee guida per le password del NIST affermano che questo sistema non garantisce necessariamente password più solide e sicure.
Le nuove linee guida per le password del NIST enfatizzano un sistema più dinamico, in cui gli utenti creerebbero le loro password confrontando le loro nuove password con password deboli e quelle che hanno portato a fughe di notizie.
Lunghezza password
La pratica attuale prevede che le password debbano essere di circa 8-10 caratteri. Questo è uno degli aspetti essenziali che devono essere modificati, poiché le linee guida del NIST sulle password raccomandano di consentire password di almeno 64 caratteri.
Avere una password così lunga potrebbe sembrare un inconveniente. Tuttavia, ricordare una frase univoca come password è molto più semplice che usarne una incomprensibile composta da numeri e caratteri casuali.
Suggerimenti per la password
«Come si chiamava il tuo animale domestico da bambino?» e «Il nome del tuo primo insegnante» sono suggerimenti per la password di tutti i giorni che gli utenti utilizzano quando hanno bisogno di recuperare una password che hanno dimenticato. Tuttavia, la qualità di questi suggerimenti per la password spesso lascia molto a desiderare, specialmente nell'era dei social media di oggi, sovraesposti.
Le nuove linee guida sulle password del NIST consigliano agli utenti di allontanarsi dai suggerimenti sulle passwordInvece, dovrebbero utilizzare l'autenticazione a più fattori come metodo più avanzato e più sicuro per la sicurezza delle password.
Puoi impostare l'MFA in modo che ti identifichi in base all'impronta digitale, al certificato digitale, al token hardware, alla posizione, all'ora e molto altro. Questo è un passaggio di sicurezza molto più difficile da hackerare e riduce significativamente il rischio di perdita di dati.
Modifiche password forzate
Le nuove linee guida per la password del NIST diminuiscono il valore delle modifiche programmate forzate della password. Supportano questa posizione sostenendo che la debolezza dell'utente nel cercare schemi di password, come cambiare solo pochi numeri o cambiare carattere, indebolisce la password e rende la modifica non così significativa come dovrebbe essereInoltre, se gli hacker dispongono già delle informazioni dell'utente e l'utente apporta solo lievi modifiche alla password esistente, la modifica forzata della password è inutile.
Copia e incolla password
Sorprendentemente, questo è qualcosa su cui il NIST ha completamente cambiato la sua prospettiva dall'ultima revisione. L'istituto era in precedenza del tutto contrario all'abilitazione delle funzioni di copia/incolla durante la digitazione delle password. Tuttavia, le nuove linee guida mirano a invertire questa raccomandazione.
Il ragionamento alla base di questo cambiamento di raccomandazione è che dover copiare e incollare password complesse incoraggerà solo i dipendenti a non utilizzare password più semplici ma a passare a gestori di password. Questi gestori di password consentirebbero quindi loro di generare e archiviare casualmente password per un comodo utilizzo senza compromettere la loro sicurezza.
L'importanza dei gestori di password e 2FA
Il modo migliore per garantire la massima privacy e sicurezza delle tue password è implementare due pratiche: impiegare un gestore di password e utilizzare l'autenticazione a 2 fattori. Quando si tratta di quest'ultimo, tutti concordano sul fatto che l'utilizzo dell'autenticazione a 2 fattori aggiunge un livello di sicurezza molto forte alle tue informazioni. Tutti gli esperti concordano sul fatto che gli accessi senza password sono la via del futuroÈ solo una questione di tempo quando le aziende adotteranno questo metodo di autenticazione.
Tuttavia, quando si tratta di gestori di password, è qui che gli esperti giungono a un bivio. Per alcuni, i gestori di password sono uno strumento necessario e molto conveniente per garantire privacy e sicurezza. Per altri, sono solo uno strumento per mascherare il problema generale memorizzando le password dietro un'altra password.
Questo perché è difficile trovare generatori di password NIST che soddisfino tutti gli standard e i requisitiIl meglio che puoi fare è trovare un generatore e gestore di password affidabile e sicuro per proteggere i tuoi preziosi dati dal cadere nelle mani sbagliate.
Per questo motivo, l'utilizzo di chiavi Bluetooth all-in-one compatte come Hideez Key 3 o Hideez Key 4 è una soluzione semplice ed elegante per la tua password esigenze gestionali. Consente di archiviare fino a 2.000 credenziali di accesso e password in un deposito hardwareInoltre, funge da chiave di sicurezza multifunzionale che ti aiuta a generare password univoche e robuste e password monouso per l'autenticazione a più fattori.
La parte migliore è che tale soluzione di gestione delle password può essere implementata non solo per esigenze personali ma anche per uso aziendale, offrendo molte altre preziose funzionalità che sarebbero perfette per l'ambiente multiutente. Per saperne di più, contattaci o richiedi un pilota personalizzato gratuito: