Nuove linee guida NIST per la gestione password

Nuove linee guida NIST per la gestione password

Cosa sono le linee guida NIST per le password

Nell’era digitale in cui siamo immersi, le password sono il primo strumento di sicurezza che ci protegge da intrusioni indesiderate negli account personali e nei sistemi informatici aziendali. Tuttavia, spesso non ci si rende conto di quanto queste combinazioni di numeri e lettere siano importanti nel contesto della cyber sicurezza e di quali siano i pericoli a cui si va incontro nel caso di una loro gestione impropria.

Dal 2014, il National Institute of Standards and Technology (NIST), agenzia federale statunitense, ha pubblicato delle linee guida per l’uso delle identità digitali fornendo un modello di comportamento sicuro per la gestione password e la riduzione dei rischi informatici.

Seguire le linee guida NIST è importante perché i tentativi di violazione dei nostri account tramite individuazione delle password sono di anno in anno sempre più elevati. Eppure, secondo Cybernews, che ha analizzato più di 15 miliardi di password, le 10 password più usate ancora oggi includono combinazioni facili da decifrare, come “123456”.

Ciò accade perché molte persone creano combinazioni molto semplici e facilmente memorizzabili. Questo però non rende una password unica: anzi, è proprio il contrario. Gli hacker, infatti, usano metodi di attacco noti come brute force o dictionary attacks, in cui appositi software provano una dopo l’altra tutte le combinazioni comuni di parole e numeri, riuscendo in poco tempo a violare agevolmente un account, utilizzando informazioni personali come ad esempio la data di nascita del titolare.

Episodi di data breach possono avere conseguenze gravi, che vanno dalla compromissione della sicurezza al danno della reputazione e della stabilità finanziaria di un’azienda. È quindi evidente che le password rappresentano la prima linea di difesa contro le minacce informatiche e assumono un ruolo di primo piano nell’ambito della cybersecurity.

L’adesione alle linee guida NIST serve quindi a rafforzare l’infrastruttura di sicurezza e a proteggere i dati sensibili dei singoli individui e delle aziende.

Quali sono le modalità per una corretta gestione password secondo il NIST

Uno degli elementi più importanti della sicurezza informatica aziendale è la corretta gestione password. Per aiutare le organizzazioni a ridurre i rischi associati a una cattiva gestione delle medesime, il NIST nel suo Cybersecurity Framework fornisce una serie di indicazioni:

  • Uso dei caratteri speciali: la combinazione di caratteri speciali e alfanumerici, nonostante fino a poco tempo fa fosse considerata la soluzione migliore per la sicurezza delle password, aumenta la probabilità di creare password poco sicure e facilmente violabili;
  • Utilizzare tutti i caratteri: l’uso di qualsiasi tipologia di caratteri, combinati tra loro in base alle necessità, agevola il processo di memorizzazione delle password, quindi consente di creare password uniche e difficili da decifrare;
  • Inserire più caratteri: permettere agli utenti di poter inserire nel campo un numero massimo di almeno 64 caratteri, nonostante il minimo richiesto corrisponda a 8 caratteri, favorisce una maggiore efficacia in termini di protezione a differenza delle password corte.
  • Copia e incolla delle password: l’operazione di copiare e incollare le password, invece di digitarle manualmente ogni volta, nonostante gli esperti fossero contrari a questo metodo, semplifica l’uso dei password manager, ossia app e programmi che archiviano in modo sicuro e crittografato le credenziali in una specie di cassaforte virtuale (Vault), rendendola disponibile all’utente quando ne avrà bisogno;
  • Non modificare le password troppo spesso: gli esperti evidenziano che modifiche periodiche conducono gli utenti ad assumere dei comportamenti piuttosto prevedibili, poiché i cambiamenti non sono altro che micro modifiche che non soddisfano i livelli di sicurezza (ad esempio: inserire un numero in più o una lettera in meno);
  • Uso di password non comuni: il nuovo approccio di NIST prevede il costante aggiornamento della cosiddetta blacklist ovvero un elenco di parole non consentite come password utente a causa del loro uso comune.

Cosa devono fare le aziende per essere conformi allo standard NIST?

Per essere conformi alle linee guida NIST per la gestione password, le aziende devono adottare una serie di misure e pratiche per garantire un’adeguata protezione delle informazioni sensibili e dei loro sistemi.

Alcuni suggerimenti per una corretta gestione delle password sono:

  • implementare metodi di autenticazione forti, come l’autenticazione a più fattori, per proteggere le identità digitali;
  • valutare e aggiornare regolarmente i processi di gestione delle identità per garantire che siano efficaci, efficienti e aggiornati;
  • formare regolarmente i dipendenti sulle migliori pratiche di gestione delle identità, compresa la sicurezza delle password e le tattiche di social engineering.

CLICCA QUI PER INFORMAZIONI SULLA
AUTENTICAZIONE MULTIFATTORE DI NAMIRIAL

Articolo precedenteL’Intelligenza Artificiale in ambito scolastico: come entrerà nelle scuole
Articolo successivoGDPR: le regole per il trasferimento dei dati

ARTICOLI CORRELATIALTRO DALL'AUTORE