L’Istituto Nazionale di standard e tecnologia (NIST) ha aggiornato le sue linee guida sulle password in conformità con una nuova ricerca. Il governo degli Stati Uniti richiede alle sue agenzie di seguire queste linee guida e molte altre organizzazioni trarrebbero beneficio dall’implementazione di queste regole.
Queste pratiche rappresentano uno standard ragionevole e ti aiuteranno a mantenere le informazioni riservate al sicuro e a proteggerle dalle violazioni.1
NIST è un’agenzia federale che promuove U. S. innovazione e industria facendo progredire la tecnologia e l’infrastruttura di sicurezza informatica della nazione.2 Seguire queste linee guida aggiornate può aiutarti a migliorare le tue pratiche di sicurezza delle password e aumentare l’efficienza del personale. Successivamente, ti guideremo attraverso le pratiche raccomandate dalle nuove linee guida e su come rispettarle.
Aumenta la lunghezza della password
La lunghezza è un componente critico delle password complesse. Le password più lunghe sono statisticamente meno probabilità di essere incrinato. Per questo motivo, il NIST ora richiede una lunghezza minima di otto caratteri per le password generate dall’utente e sei caratteri per quelle generate da una macchina. Per garantire una maggiore sicurezza per gli account più sensibili, NIST dice che è necessario impostare la lunghezza massima della password a 64 caratteri.3
Consenti caratteri e spazi speciali
Un altro modo per aumentare i livelli di sicurezza è consentire l’uso di caratteri speciali nelle password. NIST ora richiede sistemi per consentire le password che contengono caratteri speciali, anche emoji e spazi. Le nuove linee guida vietano sequenziali (es: 1234) o ripetendo (es: aaaa) caratteri e parole del dizionario.3
Consentire agli utenti di incollare testo
Le linee guida incoraggiano l’uso di sistemi automatizzati per una maggiore sicurezza. I campi password devono ora consentire agli utenti di incollare testo utilizzando la funzione Copia e incolla di un dispositivo. Ciò offre agli utenti l’opportunità di utilizzare i gestori di password, che possono aumentare notevolmente la sicurezza.
Anche le password memorizzate devono essere sottoposte a hash e salate (misure di sicurezza simili alla crittografia). Si tratta di misure di sicurezza che aiutano a salvaguardare le password che sono in deposito. Se messo in atto, gli hacker non saranno in grado di leggere i dati della password anche se riescono a rubarlo.3
Suggerimenti password fuorilegge
I suggerimenti password sono un esempio di una misura di sicurezza aggiuntiva che può effettivamente minare la sicurezza delle password. È troppo comune per gli utenti impostare suggerimenti che rendono molto facile determinare la password. Questo sconfigge lo scopo di avere una password in primo luogo.
Per evitare ciò, il NIST ha completamente vietato l’uso di suggerimenti per le password. Domande di autenticazione basata sulla conoscenza (KBA) come “Su quale strada sei cresciuto?”non sono più consentiti. Le risposte a questi sono troppo facilmente reperibili su Internet e possono facilmente portare a una violazione.3
Rimuovi i requisiti periodici di modifica della password
Studi recenti hanno dimostrato che le politiche aziendali che richiedono frequenti modifiche della password sono controproducenti per una buona sicurezza della password. Il NIST raccomanda di rimuovere questo requisito, che dovrebbe aumentare l’usabilità e rendere la sicurezza delle password più user-friendly.
Molte industrie hanno avuto un frequente standard di cambio password in atto per anni, quindi potrebbe essere necessario un po ‘ di tempo prima che questo nuovo standard sia comunemente osservato. Ma per coloro che hanno trovato lo standard precedente non necessario, questo potrebbe essere un cambiamento gradito.1
Riduci la complessità
Il NIST consiglia di ridurre al minimo i requisiti di complessità delle password, come la necessaria inclusione di lettere maiuscole, simboli e numeri. Come per le politiche di cambio password frequenti, questi requisiti possono comportare password che riducono l’usabilità e ostacolano l’efficienza dei dipendenti. Ridurre la complessità delle password può essere un altro grande passo sulla strada per migliorare le pratiche di sicurezza che i dipendenti trovano più facili da gestire.1
Schermo nuove password contro le password di uso comune o compromesse
Una pratica di sicurezza comunemente detenuti è lo screening password degli utenti contro gli elenchi di password di uso comune e le password compromesse note. Il NIST consiglia di utilizzare un software in grado di controllare le password proposte rispetto a quelle precedentemente detenute o esposte. Questo proteggerà contro la pratica di hacking di provare password conosciute in nuove impostazioni.1
- Nuove linee guida sulle password del governo federale degli Stati Uniti tramite NIST
- NIST Special Publication 800-63B
- Le nuove linee guida NIST
Condividere è prendersi cura!