Il National Institute of Standards and Technology (NIST), autorità di riferimento per gli standard tecnologici negli Stati Uniti, ha recentemente presentato una proposta che potrebbe rivoluzionare la gestione delle password e rendere la sicurezza informatica più pratica ed efficace.
La nuova bozza delle Linee guida per l’identità digitale (SP 800-63-4), rilasciata pubblicamente dal NIST, introduce indicazioni innovative che contrastano molti dei requisiti comunemente imposti per la creazione e il mantenimento delle password. Con un approccio basato sul buon senso e una maggiore attenzione alle pratiche di usabilità, il NIST mira a semplificare le regole in un campo dove la complessità spesso riduce, invece che aumentare, la sicurezza.
Le attuali difficoltà nella gestione delle password
La scelta e la gestione delle password rappresentano da anni un punto critico per utenti e aziende. Creare una password che sia sicura e al contempo facile da ricordare può risultare complicato, soprattutto quando si devono rispettare vincoli che impongono l’uso di caratteri speciali, numeri e maiuscole. A questo si aggiungono pratiche ormai consolidate, come il cambio periodico delle password, che sembrano utili a garantire la sicurezza ma in realtà finiscono per incentivare l’uso di codici più deboli e prevedibili. In effetti, molti utenti scelgono combinazioni meno sicure pur di facilitare la memorizzazione o evitano di aggiornare password, lasciando gli account esposti al rischio di compromissione.
Le nuove linee guida del NIST propongono di eliminare alcuni di questi requisiti, considerandoli ormai superati e, in alcuni casi, controproducenti. In particolare, la proposta del NIST si concentra sull’eliminazione dell’obbligo di cambiare periodicamente la password, una regola introdotta decenni fa per compensare la debolezza dei codici allora utilizzati. Oggi, con l’avanzamento delle tecnologie di autenticazione e la diffusione di password complesse, tale misura non è più giustificata, soprattutto per le aziende che utilizzano strumenti di monitoraggio delle minacce informatiche.
Il superamento delle regole di composizione obbligatorie
Uno dei cambiamenti più significativi proposti dal NIST riguarda le regole di composizione delle password, spesso imposte dai provider di servizi per garantire la sicurezza dei loro sistemi. Queste regole richiedono di includere caratteri speciali, lettere maiuscole e minuscole, e almeno un numero. Tuttavia, secondo le nuove direttive, queste misure diventano inutili quando la password è sufficientemente lunga e generata in modo casuale. Le linee guida del NIST suggeriscono quindi di evitare regole di composizione obbligatorie, poiché non migliorano realmente la sicurezza e possono portare a scelte di password meno sicure da parte degli utenti, che tendono a ripetere combinazioni facilmente ricordabili ma prevedibili.
I punti salienti delle nuove linee guida per le password
Le nuove linee guida del NIST includono una serie di misure volte a semplificare la gestione delle password mantenendo, se non addirittura migliorando, il livello di sicurezza:
- Le password dovrebbero avere una lunghezza minima di otto caratteri, con la raccomandazione di adottarne di almeno quindici.
- La lunghezza massima della password dovrebbe consentire fino a 64 caratteri, permettendo così l’uso di passphrase lunghe e articolate.
- I provider di servizi devono accettare tutti i caratteri ASCII e Unicode, incluso lo spazio, per permettere agli utenti una maggiore flessibilità nella creazione di password uniche.
- È vietato l’uso di domande di sicurezza come metodo di autenticazione, poiché facilmente prevedibili e deboli dal punto di vista della sicurezza.
- La verifica della password deve includere il controllo completo della stringa, evitando di troncarla per accorciarla.
Queste linee guida, sebbene non obbligatorie, potrebbero presto diventare standard di riferimento per agenzie governative e aziende private. Attraverso queste pratiche, il NIST punta a creare un approccio realistico che, evitando regole troppo rigide e restrittive, favorisca una maggiore efficienza e sicurezza.
Verso un modello di sicurezza orientato all’usabilità
In un mondo sempre più connesso, la sicurezza informatica si è trasformata in un’esigenza fondamentale, sia per le aziende che per i singoli utenti. Tuttavia, i modelli di sicurezza spesso non tengono conto dell’usabilità e possono creare frustrazioni, portando le persone a sviluppare comportamenti che compromettono la sicurezza stessa. La bozza proposta dal NIST rappresenta un cambiamento culturale che riconosce come una buona gestione delle password non debba essere solo sicura, ma anche intuitiva e facile da gestire. Consentendo agli utenti di creare password lunghe senza imposizioni su specifici caratteri, si dà maggiore importanza alla personalizzazione, favorendo l’adozione di password robuste.
Critiche e implicazioni delle nuove linee guida del NIST
Da tempo, esperti di sicurezza criticano le regole sulle password applicate da numerosi servizi online e istituzioni, considerandole anacronistiche e inefficaci. Eppure, molte organizzazioni non si sono ancora adattate a modelli di autenticazione più aggiornati. Il documento del NIST, che promuove pratiche di buon senso come la lunghezza minima delle password e la rimozione dei requisiti di composizione, intende rappresentare un cambiamento importante, sebbene le sue raccomandazioni non siano vincolanti per tutte le aziende.
L’adozione di queste linee guida potrebbe anche avere conseguenze positive in termini di costi, poiché ridurre la frequenza di reset e limitare la complessità delle password può alleggerire il carico delle risorse IT nelle aziende, migliorando allo stesso tempo la sicurezza complessiva. Inoltre, eliminare l’obbligo di modificare frequentemente la password ridurrebbe le richieste di assistenza, diminuendo i costi associati alla gestione di account bloccati e richieste di recupero password.
La direzione del futuro della sicurezza digitale
Le linee guida del NIST riflettono una visione della sicurezza digitale in cui l’autenticazione si adatta alle reali necessità degli utenti. Un sistema di autenticazione efficace deve bilanciare sicurezza e usabilità, e il documento del NIST rappresenta un primo passo per le organizzazioni che vogliono aggiornare i propri sistemi di gestione delle credenziali. In un futuro non troppo distante, l’autenticazione potrebbe passare sempre più da password complesse a sistemi biometrici o di autenticazione multifattoriale, riducendo ulteriormente l’onere di gestione per gli utenti.
Il NIST propone una nuova visione che incoraggia le organizzazioni a ripensare le loro pratiche di sicurezza, affidandosi a password lunghe e flessibili e lasciando alle spalle requisiti ormai datati e controproducenti.
Social Context: Le nuove linee guida del NIST potrebbero trasformare la gestione delle password e migliorare la sicurezza online
