Linee guida NIST per le password 2021 | Best practice per le norme sulle password

marzo 12, 2021

Un recente sondaggio ha mostrato che due terzi delle aziende non cambiano le passwordIl ragionamento alla base di questa statistica è ancora più preoccupante, poiché oltre la metà dei dipendenti evita di farlo perché teme di dimenticare le nuove password, pensa che questa pratica sia fastidiosa o semplicemente non ne vede l'utilità

Politiche di gestione delle password sane e solide sono essenzialiSia le aziende che i dipendenti devono comprendere l'importanza di implementare pratiche di password adeguateIl National Institute of Standards and Technology (NIST) fornisce linee guida per le password che sono considerate il gold standard per la privacy generale e la conformità alla sicurezza dei dati negli Stati Uniti

All'inizio di quest'anno, i funzionari del NIST hanno anticipato potenziali modifiche alle loro raccomandazioni sulla sicurezzaCon questo in mente, vogliamo dare un'occhiata alle attuali linee guida sulle password del NIST per il 2021 per aiutarti a riconoscere le migliori pratiche di password per proteggerti dalle attuali minacce alla sicurezza informatica

Linee guida NIST per la password

Dal 2014, il National Institute of Standards and Technology ha emanato linee guida, raccomandazioni e controlli per l'autenticazione dell'identità, comprese pratiche ottimali per le policy sulle password

NIST Password Guidelines

Queste linee guida si sono evolute nel corso degli anni, in quanto vi sono state diverse revisioni, in particolare nel 2017 e nel 2019Le linee guida sulle password del NIST trattano le pratiche cruciali per la creazione e la gestione delle password e i requisiti per la convalida di queste password

L'obiettivo principale delle linee guida per le password del NIST è creare password sicure per utenti e aziende e controllare rigorosamente l'accesso privilegiatoQueste linee guida consentono alle organizzazioni e alle aziende di proteggersi meglio da credential stuffing, attacchi di forza bruta e altri tentativi di intrusioneTenendo presente tutto ciò, diamo prima un'occhiata ai consigli sulle password obsolete e poi passiamo alle ultime linee guida del NIST per le password per il 2021

Consigli password obsolete

La maggior parte delle aziende applica pratiche di password obsolete, basate su una serie di criteri fondamentaliQuesti criteri generalmente includono tre linee guida principali per la sicurezza della password:

Forzare modifiche regolari della password
Richiesta che ogni nuova password sia univoca e non sia mai stata utilizzata in precedenza in alcuna forma
Assicurarsi che ogni password sia complessa e composta da caratteri alfabetici (minuscoli e maiuscoli) e numerici e altri simboli speciali

Queste linee guida sono ampiamente accettate da molte aziende e vengono utilizzate da decenniSebbene non ci sia nulla di intrinsecamente sbagliato nelle politiche sopra elencate, non sono abbastanza sofisticate da supportare i moderni requisiti di sicurezza

Il fatto che circa il 57% delle persone utilizzi ancora queste pratiche obsolete significa che la porta per gli attacchi di phishing e malware è ancora molto aperta per gli aggressoriCi siamo abituati ai consigli obsoleti e dobbiamo applicare nuove pratiche di gestione delle password per garantire la massima sicurezzaQuesto ci porta al prossimo argomento cruciale

Consigli su password aggiornate

Il NIST ha pubblicato una serie rivista di linee guida che coprono le pratiche di sicurezza consigliate che si applicano meglio all'ambiente odiernoQuesto argomento richiede un intero articolo a sé stante, quindi non entreremo in tutti i piccoli dettagliDetto questo, vogliamo dare un'occhiata da vicino alle ultime raccomandazioni sulle password relative alle pratiche di sicurezza esistenti:

Caratteri alfanumerici

NIST Password Guidelines

Il sistema di password alfanumeriche sembra esistere dai tempi delle password stesseLa combinazione di lettere minuscole e maiuscole con numeri e caratteri speciali per rendere una password "più sicura" è una pratica adottata da quasi tutti i sistemi di sicurezza al giorno d'oggi

Tuttavia, le linee guida per le password del NIST affermano che questo sistema non garantisce necessariamente password più solide e sicure

Le nuove linee guida per le password del NIST enfatizzano un sistema più dinamico, in cui gli utenti creerebbero le loro password confrontando le loro nuove password con password deboli e quelle che hanno portato a fughe di notizie

Lunghezza password

La pratica attuale prevede che le password debbano essere di circa 8-10 caratteriQuesto è uno degli aspetti essenziali che devono essere modificati, poiché le linee guida del NIST sulle password raccomandano di consentire password di almeno 64 caratteri

Avere una password così lunga potrebbe sembrare un inconvenienteTuttavia, ricordare una frase univoca come password è molto più semplice che usarne una incomprensibile composta da numeri e caratteri casuali

Suggerimenti per la password

"Come si chiamava il tuo animale domestico da bambino?" e "Il nome del tuo primo insegnante" sono suggerimenti per la password di tutti i giorni che gli utenti utilizzano quando hanno bisogno di recuperare una password che hanno dimenticatoTuttavia, la qualità di questi suggerimenti per la password spesso lascia molto a desiderare, specialmente nell'era dei social media di oggi, sovraesposti

Le nuove linee guida sulle password del NIST consigliano agli utenti di allontanarsi dai suggerimenti sulle passwordInvece, dovrebbero utilizzare l'autenticazione a più fattori come metodo più avanzato e più sicuro per la sicurezza delle password

Puoi impostare l'MFA in modo che ti identifichi in base all'impronta digitale, al certificato digitale, al token hardware, alla posizione, all'ora e molto altroQuesto è un passaggio di sicurezza molto più difficile da hackerare e riduce significativamente il rischio di perdita di dati

Modifiche password forzate

Le nuove linee guida per la password del NIST diminuiscono il valore delle modifiche programmate forzate della passwordSupportano questa posizione sostenendo che la debolezza dell'utente nel cercare schemi di password, come cambiare solo pochi numeri o cambiare carattere, indebolisce la password e rende la modifica non così significativa come dovrebbe essereInoltre, se gli hacker dispongono già delle informazioni dell'utente e l'utente apporta solo lievi modifiche alla password esistente, la modifica forzata della password è inutile

Copia e incolla password

Sorprendentemente, questo è qualcosa su cui il NIST ha completamente cambiato la sua prospettiva dall'ultima revisioneL'istituto era in precedenza del tutto contrario all'abilitazione delle funzioni di copia/incolla durante la digitazione delle passwordTuttavia, le nuove linee guida mirano a invertire questa raccomandazione

Il ragionamento alla base di questo cambiamento di raccomandazione è che dover copiare e incollare password complesse incoraggerà solo i dipendenti a non utilizzare password più semplici ma a passare a gestori di passwordQuesti gestori di password consentirebbero quindi loro di generare e archiviare casualmente password per un comodo utilizzo senza compromettere la loro sicurezza

L'importanza dei gestori di password e 2FA

Il modo migliore per garantire la massima privacy e sicurezza delle tue password è implementare due pratiche: impiegare un gestore di password e utilizzare l'autenticazione a 2 fattoriQuando si tratta di quest'ultimo, tutti concordano sul fatto che l'utilizzo dell'autenticazione a 2 fattori aggiunge un livello di sicurezza molto forte alle tue informazioniTutti gli esperti concordano sul fatto che gli accessi senza password sono la via del futuroÈ solo una questione di tempo quando le aziende adotteranno questo metodo di autenticazione

Tuttavia, quando si tratta di gestori di password, è qui che gli esperti giungono a un bivioPer alcuni, i gestori di password sono uno strumento necessario e molto conveniente per garantire privacy e sicurezzaPer altri, sono solo uno strumento per mascherare il problema generale memorizzando le password dietro un'altra password

Questo perché è difficile trovare generatori di password NIST che soddisfino tutti gli standard e i requisitiIl meglio che puoi fare è trovare un generatore e gestore di password affidabile e sicuro per proteggere i tuoi preziosi dati dal cadere nelle mani sbagliate

Per questo motivo, l'utilizzo di chiavi Bluetooth all-in-one compatte come Hideez Key 3 o Hideez Key 4 è una soluzione semplice ed elegante per la tua password esigenze gestionaliConsente di archiviare fino a 2.000 credenziali di accesso e password in un deposito hardwareInoltre, funge da chiave di sicurezza multifunzionale che ti aiuta a generare password univoche e robuste e password monouso per l'autenticazione a più fattori

La parte migliore è che tale soluzione di gestione delle password può essere implementata non solo per esigenze personali ma anche per uso aziendale, offrendo molte altre preziose funzionalità che sarebbero perfette per l'ambiente multiutentePer saperne di più, contattaci o richiedi un pilota personalizzato gratuito:

What Is Proximity Login? Complete Guide to Proximity Authentication and MFA
Even in 2024, we still primarily rely on traditional methods of authentication based on a username/password combina...
Manufacturing Security Solutions: Top Tips on Secure Manufacturing & Access Control
Due to the inherent way they operate, manufacturing sites are faced with a unique set of challenges that many other...
What Is Corporate Security? Top Tips and Solutions for 2024
Although absolutely critical for all organizations, corporate security is, unfortunately, often misunderstood. Alth...
Come accedere a Windows 10 senza password
ed evitare rischi per la sicurezza?
Dover inserire una password ogni volta che accedi al tuo computer Windows 10 può essere una seccatura, soprattutto ...