Modifiche NIST SP 800-63B: Guida Tecnica per la Gestione delle Password

Pubblicato il da
Condividi

Le modifiche introdotte dal NIST (National Institute of Standards and Technology) nel documento SP 800-63B rappresentano un cambiamento significativo nella gestione delle password. Le vecchie raccomandazioni, che spesso si concentravano su complessità e frequenti cambi password, vengono superate da nuovi criteri volti a migliorare la sicurezza reale. Vediamo in dettaglio i cambiamenti principali.

NIST-SP-800

Scelta delle password: un focus sulla lunghezza e non sulla complessità

Tradizionalmente, le password erano soggette a requisiti stringenti di complessità, come l’obbligo di includere lettere maiuscole, minuscole, numeri e simboli. Tuttavia, il NIST ha riconosciuto che tali regole portavano spesso gli utenti a utilizzare password prevedibili o a scriverle per evitare dimenticanze. Per questo motivo, le nuove raccomandazioni enfatizzano la lunghezza delle password, piuttosto che la loro complessità. Le password possono includere qualsiasi carattere della codifica ASCII, senza limitazioni obbligatorie su numeri o simboli specifici. Gli utenti devono poter usare caratteri stampabili (32-126 ASCII), compresi spazi, per una maggiore flessibilità. Le password con una lunghezza superiore a 64 caratteri devono essere accettate per garantire ulteriori livelli di sicurezza.

  • Lunghezza minima: 8 caratteri per gli utenti comuni, mentre per gli autenticatori “machine-to-machine” o per applicazioni integrate, il minimo può scendere a 6 caratteri.
  • Passphrase: Le passphrase, sequenze di parole comuni ma più lunghe, vengono incoraggiate in quanto più facili da memorizzare e meno suscettibili ad attacchi di brute force.
  • Cambiare password? Solo in caso di sospetta compromissione, evitando la pratica di richiedere cambi periodici che portano a comportamenti meno sicuri.

Memorizzazione e protezione delle password

Un altro aspetto fondamentale riguarda la memorizzazione sicura delle credenziali. Il NIST richiede che le password non vengano mai memorizzate in chiaro e che siano sempre protette da algoritmi di hashing sicuri.

  • Hashing: Si devono usare algoritmi come PBKDF2, bcrypt o scrypt, in quanto offrono protezioni contro attacchi offline (come quelli basati su rainbow tables).
  • Verifica delle password compromesse: Prima di accettare una password, il sistema deve verificare se la password è presente in elenchi di credenziali compromesse (es. database di breach noti). Password deboli o violate devono essere immediatamente bloccate.

Politiche di complessità e cambio password

Il NIST sottolinea che regole di complessità obbligatorie e cambi frequenti delle password non sono più considerati best practice.

  • Abbandono delle regole di complessità: Richiedere password con numeri, simboli o una specifica combinazione di caratteri porta spesso a scelte prevedibili, come “Password1!”. Le nuove linee guida non obbligano l’uso di simboli o numeri specifici, ma suggeriscono che la lunghezza della password sia l’elemento prioritario.
  • Politiche di rotazione: L’obbligo di cambiare la password regolarmente, spesso senza motivo, può portare gli utenti a utilizzare varianti prevedibili. Ora, le password devono essere cambiate solo in caso di violazione o sospetto di compromissione.

Controlli sui tentativi di accesso e prevenzione degli attacchi

Il controllo degli accessi non si limita alla sola gestione delle password. Il NIST propone anche misure per mitigare attacchi di brute force e tentativi di accesso non autorizzati.

  • Tentativi falliti: Si raccomanda di limitare i tentativi di login consecutivi senza successo a un massimo di 100, dopodiché l’account deve essere temporaneamente bloccato o si deve introdurre un ritardo esponenziale nei successivi tentativi. Ciò riduce la possibilità di attacchi di forza bruta senza compromettere l’usabilità.
  • Notifiche all’utente: In caso di tentativi falliti di accesso, gli utenti devono essere avvisati per consentire loro di intraprendere azioni tempestive in caso di attività sospetta.

Autenticazione multifattore e uso di autenticatori moderni

L’uso di password, sebbene rimanga diffuso, non è più considerato sufficiente per garantire la sicurezza, soprattutto nei sistemi critici. Il NIST incoraggia l’adozione di autenticatori multifattore (MFA) e tecnologie più avanzate.

  • Autenticazione a più fattori: L’MFA, che richiede almeno due dei tre fattori di autenticazione (qualcosa che sai, qualcosa che hai, qualcosa che sei), migliora significativamente la sicurezza. Il NIST suggerisce l’uso di token fisici o applicazioni basate su standard aperti come FIDO2 e WebAuthn, che offrono una robusta autenticazione a chiave pubblica.
  • Autenticatori hardware: Gli autenticatori hardware, come chiavi di sicurezza basate su FIDO, offrono una protezione superiore rispetto alle sole password, soprattutto contro attacchi di phishing o compromissione delle credenziali.

Autenticazione contestuale e basata sul rischio

Un altro elemento chiave delle nuove raccomandazioni è l’autenticazione adattiva o contestuale. In base al rischio percepito, i sistemi possono richiedere ulteriori verifiche d’identità.

  • Controllo del rischio: Se viene rilevato un comportamento anomalo (ad es. login da un dispositivo o posizione insolita), il sistema può richiedere passaggi aggiuntivi di autenticazione, come un codice inviato al telefono o una verifica biometrica.

Conclusione

Le nuove linee guida del NIST SP 800-63B forniscono un quadro aggiornato e più sicuro per la gestione delle credenziali. L’approccio si allontana da pratiche obsolete, come l’eccessiva enfasi sulla complessità e la rotazione delle password, concentrandosi invece su lunghezza, verifiche proattive e l’adozione di metodi di autenticazione più robusti. L’integrazione di questi principi non solo migliora la sicurezza complessiva, ma riduce anche il carico sugli utenti, favorendo pratiche più sicure e sostenibili a lungo termine.


Condividi

I commenti sono chiusi