NIST: come è cambiato lo standard di sicurezza delle password

A chi non è mai capitato di doversi arrovellare il cervello per cercare una nuova password da impostare, alla scadenza del periodo prescritto dalle policy dell’organizzazione? Beh, il NIST ha risolto il problema proponendo un cambio di rotta fondato su un approccio pragmatico e improntato sul comportamento degli utenti.

Secondo gli esperti del National Institute of Standards and Technology (NIST), per salvaguardare la sicurezza delle password non è necessario obbligare l’utente a modificarla sistematicamente e a seguire le consuete regole di scrittura (ad esempio caratteri maiuscoli, minuscoli, speciali o numerici).

Ma la maggior parte delle aziende e delle istituzioni italiane questo ancora non lo sa, o quanto meno non lo mette in pratica.

Il NIST è un’agenzia federale del Dipartimento del Commercio degli Stati Uniti. La sua missione è quella di promuovere l’innovazione e la competitività industriale attraverso l’elaborazione di standard sulla tecnologia per migliorare la sicurezza economica e la qualità della nostra vita. Più precisamente, il NIST si occupa della pubblicazione dei Federal Information Processing Standard (FIPS) che trattano diversi aspetti della sicurezza: crittografia (DES e l’AES) algoritmi di Hash (SHS) e così via. L’adozione di tali standard è obbligatoria per il governo statunitense, al contrario, non lo è per l’Europa ma data la loro autorevolezza sono considerati comunque un punto di riferimento globale.

Le linee guida del NIST sulla sicurezza delle password

Le regole sulle password sono contenute nel NIST SP (Standard Pubblication) 800, in cui sono descritte procedure, policy e guidelines che si applicano ai sistemi e alle reti informatiche del governo federale statunitense.

Nel 2017, però, il NIST SP 800-63 “Digital Identity Guidelines” è stato aggiornato ed è stato riscritto lo standard per la gestione sicura delle password, eliminando sia la richiesta di cambio delle credenziali periodico che i requisiti di complessità delle stesse.

In particolare, la best practice, per aziende e istituzioni internazionali, imponeva agli utenti di rinnovare le proprie password ogni 3/6 mesi (come da NIST SP 800-63). Il comportamento consigliato, per responsabilizzare l’utente era, infatti, quello di utilizzare tutti i tipi caratteri (numeri, lettere minuscole e maiuscole, simboli) e di cambiare regolarmente le password.  

La maggior parte delle persone, soprattutto nelle aziende dove viene richiesta la modifica ad intervalli prestabiliti, tende ad usare sempre le stesse tecniche di creazione, apportando solo esigui cambiamenti alla stessa password, (es. scambiando le maiuscole con le minuscole), per evitare di dimenticarla. Questo comportamento rappresenta un pain point che i criminali informatici hanno imparato a sfruttare grazie algoritmi di password cracking che tengono conto proprio delle cattive abitudini degli utenti.

Infatti, mentre quando lo standard fu pubblicato per la prima volta nel 2003, determinate regole, quali l’utilizzo di maiuscole e minuscole, di caratteri speciali e di almeno un numero venivano specificatamente consigliate, attualmente tali misure vanno considerate superate. Le recenti potenze di calcolo e l’efficacia delle tecniche di cracking, che utilizzano gli attaccanti, rendono le password più facilmente violabili rispetto al 2003. Pertanto, quelle che precedentemente venivano considerate sicure ad oggi sono delle pessime password.

L’inversione di rotta del NIST volta alla praticità

Il NIST SP 800-63B “Digital Identity Guidelines – Authentication and Lifecycle Management”[1] espone le linee guida più recenti sulle password, adottando un approccio molto pratico e rivolto all’uso quotidiano che l’utente fa della strumentazione tecnologica.

Il cambio di orientamento che troviamo in questo aggiornamento è importante, innanzitutto da un punto di vita pratico, perché obbligare gli utenti a cambiare periodicamente le password è considerata una pratica che può portare ad utilizzare password semplici e prevedibili, strettamente correlate tra loro per riuscire a ricordarle più facilmente, e quindi deducibili senza arrovellarsi troppo il cervello. Dal punto, di vista teorico invece, mostra come gli standard e le tecniche di sicurezza si vadano adattando al comportamento del punto più debole e vulnerabile: l’essere umano.

In realtà la password andrebbe cambiata solo se vi è il sospetto o l’evidenza di una compromissione altrimenti non è necessario ai fine della sua inviolabilità. Inoltre, di solito le credenziali sottratte vengono sfruttate dai cyber criminali non appena vengono compromesse.

Oltre a quest’ultimo notevole cambio di orientamento, il NIST SP 800-63B riporta altre utili linee guida, anch’esse improntate sul buon senso ed sulla praticità d’uso:

  • la lunghezza minima per la password dovrebbe essere di almeno 8 caratteri,con una lunghezza massima consigliata di almeno 64 caratteri, inoltre dovrebbe essere permesso introdurre tutti i caratteri ASCII per aumentarne la robustezza;
  • non dovrebbero essere imposte nemmeno “regole di composizione” poiché, la combinazione statisticamente più utilizzata dagli utenti è: lettera maiuscola all’inizio, numeri e caratteri speciali in fondo. Questo permette ad un possibile attaccante di circoscrivere il numero di tentativi, concentrando l’attacco brute force sulle password probabilmente più usate dagli utenti.
  • è inutile impostare le c.d. domande di sicurezza. Il NIST, invita a non richiederle poiché queste ultime, denominate anche hint, sono di solito troppo semplici da indovinare (es. Il nome del tuo primo animale domestico? Oppure il cognome da nubile di tua madre?). Basta usare un po’ di social engineering ed il gioco è fatto;
  • altra utile indicazione del NIST, per semplificare la vita all’utente e consentirgli di ricorrere a password robuste, è di consentire ai richiedenti di utilizzare la funzione incolla al momento di inserimento della password. Si consiglia inoltre l’uso di password manager per facilitare la scelta di password forti e complesse. L’utente non può inserire una password  lunga o difficile alla cieca e perciò egli finirà per optare per una password particolarmente semplice. D’altro canto, al momento dell’inserimento la password non dovrebbe essere censurata da asterischi o pallini per facilitarne la digitazione;
  • da ultimo sarebbe buona norma fare ricorso alla multi factor authentication. Tra le modalità di autenticazione è consigliabile utilizzare un Multi-Factor OTP Device, come ad esempio uno smatphone, che genera un codice OTP time based attraverso un’apposita applicazione. Attualmente lo strumento più diffuso è una telefonata o un SMS contenete il codice OTP; entrambi potrebbero però essere compromessi dalla clonazione della SIM (SIM swap).

Quanto riportato dal NIST mette in luce l’importanza del ruolo di chi amministra i sistemi IT e di chi realizza i servizi web per aziende e PA. Questi stessi, hanno l’onere di adottare le misure di sicurezza necessarie a tutelare i dati e le informazioni particolarmente sensibili che rappresentano un barattolo di miele per criminali informatici. 

Ad oggi, queste nuove regole dall’approccio più pragmatico permettono un uso della tecnologia molto vicino agli utenti, facendo sì che tali norme di comportamento divengano la quotidianità.

Dunque, sarebbe auspicabile che tutte le aziende e le istituzioni nazionali, che ancora non lo fanno, adottino il nuovo standard proposto dal NIST.


[1] https://pages.nist.gov/800-63-3/sp800-63b.html

Claudia Cofini
A proposito di Claudia Cofini

Mi sono laureata in giurisprudenza presso l’Università degli studi di Perugia e in seguito mi sono specializzata in diritto dell’informatica conseguendo un Master di II livello presso La Sapienza. Sono un’appassionata di informatica ed è per questo che ho deciso di conciliare i miei studi di diritto con questa mia passione scoprendo nuovi interessi. In particolare ho approfondito attentamente gli ambiti della data protection e della cybersecurity.  Attualmente lavoro nel settore dell' ICT Security & Compliance.