Linee guida NIST per le password: Cosa devi sapere

L'National Institute of Standards and Technology (NIST) aiuta le organizzazioni ad implementare le migliori pratiche in tutte le loro operazioni, inclusa la cybersecurity. In particolare, le linee guida NIST per le password sono considerate lo standard d'oro per la creazione e la gestione di politiche di password solide.

Questo articolo spiega le attuali linee guida NIST per le password, dettagliate nella Pubblicazione Speciale 800-63B, “Linee guida per l'identità digitale”, e come le organizzazioni possono implementarle per rafforzare la loro strategia di cybersecurity.

L'evoluzione delle linee guida NIST per le password

La prima versione delle linee guida per le password NIST 800-63 è stata rilasciata nel 2014. Lo standard attuale è la versione 3, rilasciata nel 2019 e aggiornata nel 2020. Una quarta revisione (linee guida per le password NIST 2024) è in corso di elaborazione per rispondere all'evoluzione del panorama degli attacchi.

Un motivo fondamentale per cui il NIST ha modificato nel tempo le sue linee guida sulle password è l'osservazione del comportamento degli utenti nel mondo reale. In particolare, sebbene regole password rigorose possano sembrare aumentare la sicurezza, possono sopraffare gli utenti, portandoli ad adottare pratiche che in realtà danneggiano la sicurezza.

Ad esempio, richiedere agli utenti di scegliere password molto complesse e di cambiarle frequentemente può fare più male che bene: gli utenti, desiderosi di evitare la frustrazione dei blocchi degli account, potrebbero ricorrere a scrivere le loro password e a tenerle proprio accanto alla loro scrivania. Di conseguenza, il NIST ora cerca di facilitare pratiche migliori più amichevoli per l'utente che migliorano la sicurezza complessiva.

Terminologia chiave

Le sezioni della pubblicazione speciale NIST sono presentate come informative, normative o entrambe. Informative il materiale è destinato ad aiutare il lettore a comprendere i concetti. Normative il contenuto fornisce raccomandazioni per un'azienda da utilizzare nella creazione di password policies. Prestare particolare attenzione ai seguenti termini chiave:

• Dovranno e non dovranno — Indicare le azioni che NIST richiede alle organizzazioni di compiere (o non compiere)
• Should and should not —Indicate that NIST recommends (or discourages) an action
• Maggio e non può — Indica che un'azione è permessa (o non permessa)
• Possono e non possono — Indicano una possibilità o capacità (o la mancanza di essa), sia fisica, causale o materiale

Linee guida NIST per le password

I componenti principali delle raccomandazioni per le password del NIST possono essere raggruppati in due aree:

• Composizione della password, che include requisiti di lunghezza e complessità per password sicure.
• Gestione delle password, che include argomenti come la scadenza delle password, le politiche di blocco e l'uso dei gestori di password.

Composizione della Password

Una differenza fondamentale tra le vecchie linee guida NIST per le password e l'attuale orientamento è la priorità data alla lunghezza della password rispetto alla complessità. Il motivo è semplice: sebbene i requisiti di complessità rendano le password più difficili da indovinare o forzare per gli hacker, spesso portano gli utenti a ricorrere a pratiche rischiose come annotare le proprie password. I requisiti di lunghezza ottengono molti dei benefici di sicurezza senza gli svantaggi, poiché gli utenti possono scegliere passphrase forti che sono facili da ricordare e digitare.

Di conseguenza, le linee guida per le password NIST 2023 includono i seguenti requisiti di lunghezza e complessità:

• Lunghezza minima — Le password generate dagli utenti devono essere lunghe almeno 8 caratteri e quelle create automaticamente devono essere lunghe almeno 6. In precedenza, la lunghezza minima per entrambe era di 6.
• Lunghezza massima — Sia le password generate dagli utenti che quelle generate automaticamente devono avere una lunghezza massima di 64 caratteri.
• Complessità della password — Le precedenti linee guida del NIST richiedevano che le password includessero caratteri speciali e vietavano determinati caratteri, come spazi ed emoji. Ora il NIST raccomanda di non avere requisiti di complessità, ma di rendere permessibili tutti i caratteri del Codice Standard Americano per lo Scambio di Informazioni (ASCII).

Gestione delle password

La pubblicazione attuale del NIST offre anche una guida rivista sulla gestione della sicurezza delle password. Le revisioni chiave riguardano quanto segue:

• Cambi delle password — In precedenza, i requisiti di scadenza delle password del NIST costringevano gli utenti a cambiare periodicamente la loro password. Tuttavia, alla luce delle ricerche successive, il NIST ora raccomanda di richiedere agli utenti di cambiare le password solo quando vi è un motivo specifico, come il compromesso dell'account.
• Storia delle password—Si incoraggiano le organizzazioni a confrontare la nuova password proposta dall'utente con quelle precedenti per garantire un'adeguata originalità.
• Controllo delle password — NIST richiede alle organizzazioni di verificare le nuove password proposte rispetto a una blacklist di password proibite. Questi elenchi di password possono includere credenziali compromesse in violazioni precedenti, parole del dizionario, password contenenti caratteri ripetitivi o consecutivi come “12345” o “aaaa”, e parole specifiche del contesto come il nome dell'utente o dell'azienda.
• Blocco degli account — NIST 800-63B raccomanda che gli account vengano bloccati dopo non meno di 10 tentativi di accesso falliti.
• Archiviazione delle password — NIST richiede l'uso dell'hashing e del salting delle password per rendere gli attacchi di indovinamento delle password eccessivamente costosi per gli avversari.
• Suggerimenti per la password — Le attuali linee guida NIST sulle password sconsigliano alle organizzazioni di permettere suggerimenti per la password (ad esempio, “In che anno sei nato?”) poiché possono facilitare agli hacker l'indovinare la password di un utente.

Migliori pratiche per l'implementazione della guida NIST sulle password

Le linee guida NIST offrono preziose intuizioni su come mantenere i sistemi IT, i servizi e i dati al sicuro dalle minacce informatiche. Ecco alcune delle migliori pratiche chiave da seguire:

• Siate pratici. Come abbiamo visto, requisiti di password eccessivamente rigidi sono spesso controproducenti. Inoltre, potrebbero non migliorare la sicurezza quanto previsto. Ad esempio, il NIST osserva che i requisiti di complessità e lunghezza della password non aiutano a difendersi da attacchi di registrazione dei tasti, phishing e ingegneria sociale.
• Offrite un gestore di password. Le linee guida NIST incoraggiano le organizzazioni a permettere agli utenti di utilizzare gestori di password perché questi strumenti rendono facile per gli utenti scegliere password lunghe e complesse senza preoccuparsi di dimenticarle e rimanere bloccati. Con un gestore di password, potete adottare con fiducia i requisiti di lunghezza e complessità che funzionano meglio per la vostra organizzazione.
• Migliora l'autenticazione — La maggior parte delle organizzazioni utilizza ancora le password come fattore primario di autenticazione. Il NIST ricorda alle organizzazioni che l'autenticazione basata sulla conoscenza (sollecitare un utente a rispondere a delle domande) non è un metodo accettabile di autenticazione. Inoltre, la biometria come le impronte digitali non è di per sé una forma sufficiente di autenticazione, anche se può essere utilizzata nell'autenticazione multifattore. Le linee guida del NIST sconsigliano l'uso di messaggi SMS nell'autenticazione multifattore.
• Adotta un approccio approfondito alla sicurezza. Le politiche per password robuste sono importanti per ogni organizzazione, ma sono solo un componente di una strategia di cybersecurity comprensiva. Assicurati di implementare altre pratiche migliori di sicurezza fondamentali, come l'applicazione rigorosa del principle of least privilege per controllare strettamente l'accesso ai dati sensibili e ai sistemi.

Come Netwrix può aiutare

Scegliere gli strumenti giusti può permettervi di ottenere la conformità con le linee guida NIST per le password più rapidamente ed efficacemente. Per aiutarvi, Netwrix offre una solida password management solution. I prodotti principali includono:

• Netwrix Password Policy Enforcer, che rende semplice creare politiche di password potenti ma flessibili, garantendo al contempo un'esperienza positiva per gli utenti.
• Netwrix Directory Manager, che consente agli utenti di reimpostare le proprie password e sbloccare i propri account, riducendo i costi del servizio di assistenza e la frustrazione degli utenti.
• Netwrix Password Secure, che consente agli utenti di gestire in modo sicuro le proprie password e agli amministratori di gestire l'accesso privilegiato e di verificare l'utilizzo delle password.

Conclusione

Le linee guida NIST rappresentano lo standard d'oro per la composizione delle password e le politiche di gestione delle password che proteggono sistemi sensibili e dati. I cambiamenti principali rispetto alle vecchie linee guida includono l'enfasi sulla lunghezza piuttosto che sulla complessità e l'eliminazione della necessità di una rotazione regolare delle password.

FAQ

Quali sono le linee guida della politica delle password NIST?

NIST 800-63B, “Linee guida sull'identità digitale,” offre raccomandazioni sulla composizione delle password e sulla gestione delle password. Le attuali linee guida del NIST includono quanto segue:

• Preferisci la lunghezza alla complessità.
• Richiedere che le password generate dagli utenti siano lunghe 8-64 caratteri e che le password generate automaticamente siano lunghe 6-64 caratteri.
• Consenti l'uso di tutti i caratteri ASCII, inclusi spazi ed emoji.
• Controlla le nuove password del candidato rispetto a un elenco di password deboli e compromesse.
• Non consentire suggerimenti per la password.

Cos'è la linea guida per le password NIST 800-63?

Le linee guida per le password NIST 800-63B, intitolate “Digital Identity Guidelines”, fungono da quadro di riferimento per aiutare le organizzazioni ad implementare le migliori pratiche per le password.

NIST raccomanda la scadenza delle password?

No, il NIST non raccomanda più di obbligare gli utenti a cambiare regolarmente le loro password, poiché le politiche di scadenza delle password spesso portano gli utenti ad adottare pratiche insicure come annotare le proprie password. Invece, le organizzazioni dovrebbero richiedere un cambio di password solo quando c'è una buona ragione, come il compromesso dell'account.

Quali sono le linee guida per le password di NIST 800-171?

NIST 800-171 le linee guida per le password sono dettagliate in NIST Special Publication 800-171 Revision 3, “Proteggere le Informazioni Non Classificate Controllate nei Sistemi e nelle Organizzazioni non Federali.”

Quali sono gli standard delle password per il 2024?

Le linee guida NIST per le password stabiliscono standard per un'ampia gamma di applicazioni relative alle password, inclusi ma non limitati a:

• La rimozione dell'autenticazione basata sulla conoscenza
• Accettazione di caratteri come emoji o la barra spaziatrice
• Accettazione dei gestori di password
• Rimozione delle date di scadenza e degli indizi delle password
• Preferendo la lunghezza alla complessità
• Stabilire lunghezze minime e massime per password generate automaticamente e dall'utente

Quanto dovrebbero essere lunghi le password nel 2024?

Le linee guida NIST per le password stabiliscono che le password generate dagli utenti dovrebbero essere lunghe da otto a 64 caratteri, mentre le password generate automaticamente dovrebbero essere lunghe da sei a 64 caratteri.