Dopo le raccomandazioni aggiornate di Microsoft sulle password, il National Institute for Standards and Technology (NIST) ha pubblicato le proprie linee guida aggiornate sulle password. Queste raccomandazioni sono parallele a molte di quelle di Microsoft e quindi conferiscono loro maggiore credibilità; in alcune aree si spingono oltre. Quando due importanti influencer del settore della sicurezza giungono in modo indipendente a conclusioni così simili, è un segnale forte che invita le aziende a rivedere con attenzione le proprie politiche sulle password, sia per i sistemi interni che per i servizi rivolti all'esterno che dispongono di un archivio di identità.
Perché il documento del NIST è importante
Che cos'è questa nuova pubblicazione del NIST? SP 800-63-3 si intitola "Digital Authentication Guideline" e definisce i requisiti per soddisfare quattro livelli di garanzia (LOA - il grado di certezza che un'entità sia ciò o chi dichiara di essere). Uno dei documenti, SP 600-63-3B, è intitolato "Authentication & Lifecycle Management" e si concentra sulla guida alle password.
Perché questo documento è così importante? Uno dei numerosi compiti del NIST è quello di fornire linee guida per il settore pubblico, in altre parole per tutte le applicazioni del governo federale. Molte delle linee guida sono solo raccomandazioni, ma alcune sono requisiti che tutte le applicazioni devono rispettare. Si tratta di un'influenza molto ampia, ma anche di più, perché molti altri settori e aziende seguono queste linee guida.
Esaminiamo le raccomandazioni del NIST, come si confrontano con quelle di Microsoft e dove il NIST si spinge oltre. Un tema comune a entrambe le serie di raccomandazioni è la maggiore facilità d'uso, soprattutto quando le raccomandazioni migliorano la sicurezza o quando le politiche esistenti, poco amichevoli, non la migliorano. Le ricerche hanno dimostrato che più si rendono difficili le politiche sulle password, maggiore è la probabilità che gli utenti imbrogliano o utilizzano un metodo prevedibile (1, 2, ecc.) facilmente violabile.
Il NIST raccomanda di prolungare le frasi di accesso facili da ricordare.
Il NIST richiede ora un minimo di 8 caratteri, il che non è radicale, ma richiede anche un massimo di 64 caratteri per incoraggiare le passphrase. Questo è uno dei temi del documento: rafforzare i sistemi in modo che possano gestire password più forti in un modo che sia più facile da ricordare per l'utente. In altre parole, far gravare l'onere sui sistemi, non sugli utenti. Insieme a Microsoft, raccomandano anche un dizionario di password comuni che può essere usato per non accettare password deboli (ad esempio "passw0rd!") quando l'utente cerca di impostarle.
Un altro requisito che saremo tutti felici di vedere è quello di consentire spazi, tutti i caratteri ASCII e anche potenzialmente i caratteri Unicode (come le emoji) nelle password. Riuscite a immaginare di usare gli emoji nelle vostre password? Qualcuno dovrà mostrarmi qualche scorciatoia da tastiera prima che ci provi! Gli spazi possono causare problemi perché è difficile distinguere uno o due spazi, ma questo è reso un po' più semplice da un'altra nuova raccomandazione che prevede che l'utente possa visualizzare la password che ha inserito, a patto che si nasconda di nuovo dopo un certo periodo di tempo. Questa possibilità è diventata sempre più comune e ne sono felice.
Stop alla scadenza delle password
Sia Microsoft che il NIST si occupano della scadenza delle password ed entrambi raccomandano di non farle scadere arbitrariamente dopo un certo intervallo di tempo, a meno che non vi siano prove di compromissione. A differenza dei sistemi di identità on-premises come Active Directory, la maggior parte dei siti web ha sempre seguito questa regola. Tuttavia, non sto dando loro il merito di essere stati lungimiranti nelle loro politiche sulle password; semplicemente non volevano le seccature che la scadenza delle password avrebbe causato ai loro help desk e ai loro clienti.
Il NIST rifiuta l'autenticazione basata sulla conoscenza (hints) che può essere scoperta o forzata brutalmente da un aggressore. Ammettiamolo, la maggior parte dei malintenzionati conosce già il cognome da nubile di vostra madre. Raccomanda inoltre di non utilizzare le regole di composizione perché sono troppo difficili per l'utente e non garantiscono la sicurezza che si pensava in origine.
È ora di abbandonare gli SMS
Un cambiamento importante, che ha suscitato molti commenti, è la deprecazione ("non lo rifiutiamo ancora, ma non lo miglioreremo più") dell'uso degli SMS come secondo fattore di autenticazione. E rifiuta categoricamente l'uso di un numero VoIP (ad esempio Google Voice) per l'autenticazione via SMS, perché non si tratta di un secondo fattore: non è qualcosa che si possiede. La preoccupazione per gli SMS in generale è che il servizio non sia sicuro come dovrebbe essere perché non è stato progettato per questo tipo di utilizzo. I criminali hanno ideato malware in grado di reindirizzare i messaggi SMS e lo scambio di SIM consente ai criminali di dirottare i messaggi di un utente.
Sfortunatamente, se si opera in un settore che deve seguire le politiche di conformità, come l'HIPAA, non è possibile implementare queste nuove raccomandazioni quando sono in disaccordo con le politiche. Bisogna aspettare, magari per anni, che le politiche si adeguino alle raccomandazioni.
Non siete d'accordo con queste nuove linee guida? Si tratta di una bozza di specifica e il NIST incoraggia fortemente la partecipazione e il feedback su Github.
