Il “dogma” dell’obbligo di cambio frequente per garantire la sicurezza delle password è ormai caduto. La regola “universale” di obbligare gli utenti a cambiare le proprie password ogni 3-6 mesi nasce dal documento NIST SP 800-63.
La serie NIST SP (Standard Pubblication) 800 è un insieme di documenti che descrivono le politiche, le procedure e le linee guida della sicurezza informatica del governo federale degli Stati Uniti. Il NIST (National Institute of Standards and Technology) è nato nel 1901 ed i documenti che pubblica (e che sono disponibili gratuitamente sul sito) sono considerati un punto di riferimento a livello non solo USA, ma in tutto il mondo. Le pubblicazioni della serie NIST 800 riguardano la sicurezza dei sistemi e delle reti informatiche (IT).
La prima versione della NIST SP 800-63 risale agli anni 2000 e prescriveva il cambio periodico delle password. Considerata l’autorevolezza del NIST, questa prassi è stata poi applicata in tutto il mondo.
Ma nel 2017 il NIST ha rivisto le proprie linee guida sulla gestione delle credenziali, rimuovendo la richiesta di cambio password periodico e aggiornando i requisiti di complessità. Questo è accaduto con la pubblicazione, a giugno 2017 della NIST SP 800-63B “Digital Identity Guidelines – Authentication and Lifecycle Management” (scaricabile gratuitamente da questo link).
Il cambio di orientamento è notevole: alla pagina 14 del documento citato leggiamo che: “Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator”.
In altre parole: obbligare arbitrariamente le persone a cambiare periodicamente le password (definite “memorized secrets”) non è più considerata una pratica utile, anzi può portare l’utente ad utilizzare password banali per riuscire a ricordarle più facilmente (ogni volta che si è obbligati a cambiarle). Si aggiunge tuttavia che la password andrebbe comunque cambiata se c’è il sospetto o l’evidenza di una sua compromissione.
Nei paragrafi successivi vengono indicate altre utili linee guida improntate al buon senso ed alla praticità d’uso: “I verificatori dovrebbero consentire ai richiedenti di utilizzare la funzionalità di “incolla” quando si inserisce una password. Questo facilita l’uso dei gestori di password (i password manager) che sono ampiamente utilizzati e in molti casi aumentano la probabilità che gli utenti scelgano segreti memorizzati più forti”.
Ed inoltre: “Per aiutare il richiedente ad inserire con successo un segreto memorizzato (la password), il verificatore DOVREBBE offrire la possibilità di visualizzare il segreto – piuttosto che una serie di punti o asterischi – fino al suo inserimento.”
Oggi quindi le linee guida più moderne suggeriscono di non obbligare l’utente a modificare frequentemente le password: il primo ad aver abbracciato questa impostazione è stato il Centro Nazionale di Sicurezza informatica della Gran Bretagna (NCSC) che ha aggiornato la propria guida: “Password Guidance: Simplifying Your Approach“).
Anche perché le password, quando rubate, vengono sfruttate (“exploited”) immediatamente. Quindi: scegliamo la password una volta sola, ma che sia ben robusta!
Purtroppo queste regole non sono state invece recepite dalla grande maggioranza delle aziende e dei siti – soprattutto quelli italiani, compresi i siti bancari – che continuano ad imporre il cambio password periodico.
Un altro errore da evitare, nell’impostazione di una password, è affidarsi ai cosiddetti “password meter”, i sistemi che ci indicano se la password scelta è abbastanza forte. Questi misuratori della forza delle password (che spesso nei siti sono rappresentati graficamente da una barra – o da un semaforo – che cambia colore quando ritengono la password sufficientemente robusta) non sono affidabili.
Ho personalmente verificato come la stessa password venga valutata come “sicura” da i password meter di alcuni siti ed insicura su altri siti. Consigliabile quindi far generare le proprie password da strumenti più affidabili quali sono i password manager.
Ed infine, è molto importante, non usare le domande di sicurezza!
In questo articolo sul tema “Come usare le password in modo sicuro”, che ho pubblicato per CYBERSECURITY360 (la testata specialistica del Network Digital 360) si può trovare qualche altro utile consiglio per generare password sicure.
© Copyright 2018 Giorgio Sbaraglia
All rights reserved.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.