Il NIST cambia opinione sulle password

Desta non poco interesse la notizia, diffusa nelle scorse settimane, del radicale cambio di rotta del NIST USA sulla politica di gestione delle password per l’accesso ai sistemi informatici, che sconfessa anni di costrizioni e disagi legati alla sostituzione forzata, ormai imposta dalla totalità degli amministratori di sistema

Secondo le rilevazioni del NIST, tale pratica è ormai decisamente da sconsigliare, perchè controproducente, potendosi rilevare, negli ultimi anni, una pericolosa tendenza degli utenti a seguire degli schemi logici, per la generazione delle nuove password, anche a causa del moltiplicarsi degli account e dei servizi, che agevolano gli attacchi informatici anzichè scoraggiarli.

Evidenzia l’Istituto americano che le password andrebbero cambiate solo se compromesse e che, invece, l’attenzione deve essere orientata alla generazione con metodi “robusti”, possibilmente attraverso l’adozione di password manager (come dashlane, 1password, keepass, ecc.) che consentono all’utente di memorizzare una sola password forte e di generare in modo casuale tutte le altre, che restano memorizzate all’interno della memoria cifrata gestita dall’applicazione

L’aspetto più importante rilevato dal NIST, infatti, evidenzia che gli utenti sprovvisti di tali applicazioni tendono ad utilizzare la stessa password per molteplici servizi, esponendosi a data breach dall’effetto domino e, comunque, tendono ad utilizzare sempre la medesima sequenza per generare le stringhe da utilizzare (normalmente lettere maiuscole, lettere minuscole e numeri) cambiando solo un carattere (di solito il numero finale) quando li si costringe a sostituirle coattivamente.

Anche la prassi degli amministratori di richiedere password di almeno 8 caratteri alfanumerici, escludendo i caratteri speciali (spesso anche a causa di software obsoleti) spinge gli utenti ad utilizzare password di otto caratteri alfanumerici o, peggio ancora, solo numerici, semplificando di molto, in tal modo, il calcolo necessario per forzare le credenziali.

Dal punto di vista delle misure di sicurezza (e, quindi, della tutela dei dati personali connessa al GDPR), questo cambio di rotta del NIST (non cogente ma sicuramente autorevole) suggerisce di rivedere le politiche di accesso a sistemi e servizi, affinché la sicurezza sia sempre più una forma mentis dell’utente e degli imprenditori e non un fastidio da sopportare.

Un doveroso ringraziamento a Giorgio Sbaraglia che, nei suoi interessantissimi articoli, riesce a portare l’aspetto tecnico al livello di chi non è un informatico.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

SUBSCRIBE
MY WEB
NEWSLETTERS
Lorem ipsum dolor sit amet, consectetur adipiscing