;Resize,width=638;)
Cambiare spesso la password è una pratica diffusa per migliorare la sicurezza online, perché aiuta a proteggere i propri account dagli attacchi di criminali informatici e malintenzionati. Tuttavia, di recente sempre più esperti di sicurezza informatica sostengono che quest’abitudine possa essere inefficace e talvolta persino controproducente. Quando ci si sente costretti a modificare regolarmente la password è infatti frequente l'adozione di schemi prevedibili, che rendono più semplice ricordare le numerose chiavi di sicurezza che si collezionano nel corso del tempo. Questo comportamento, anziché innalzare la sicurezza dei propri account, facilita (e di molto) il lavoro dei criminali informatici, abili nel riconoscere e sfruttare questi schemi di comportamento.
Come si evince leggendo le nuove linee guida del NIST (National Institute of Standards and Technology) – un'agenzia governativa statunitense che definisce standard di sicurezza informatici che vengono progressivamente adottati in tutto il mondo – oggi è molto meglio privilegiare password uniche e complesse, senza cambiarle, se non strettamente necessario, come in caso di compromissione dell’account o in caso di comparsa delle password in fughe di dati note. In questo contesto, i gestori di password (conosciuti anche come password manager) diventano alleati preziosi, poiché consentono di generare e memorizzare password forti e diversificate, semplificando tantissimo la gestione dei propri account.
Le nuove regole del NIST sulla sicurezza delle password
Le password forti, per quanto fastidiose, continuano a essere (insieme all'autenticazione a due fattori) una delle principali barriere contro gli accessi indesiderati ai propri account. In passato, molte piattaforme richiedevano di cambiare password periodicamente – a volte ogni 60 giorni – come precauzione contro possibili attacchi informatici. Tuttavia, il NCSC (National Cyber Security Centre) del Regno Unito ha iniziato a mettere in discussione questa pratica già nel 2015. Il NCSC avvertiva che forzare la modifica della password porta gli utenti a utilizzare varianti di quella impostata precedentemente, seguendo pattern prevedibili (ad esempio modificando “Password123” in “Password456”).
Per un hacker (o meglio, un cracker), identificare questi schemi non è affatto complesso; una volta scoperta una password, risalire alle versioni successive diventa un vero e proprio gioco da ragazzi. Per quanto possa sembrare controintuitivo come concetto, la modifica frequente di password aumenta paradossalmente il rischio di violazione anziché ridurlo, in quanto spinge l'utente a utilizzare una password banale e facile da ricordare anziché una chiave di sicurezza complessa e sicura. In altre parole, l'obbligo di dover cambiare spesso tutte le proprie password porta gli utenti a fare un ragionamento ingannevole e pericoloso, del tipo “Pazienza se la password non è il massimo della sicurezza… tanto la dovrò cambiare tra pochi mesi”.
Anche il NIST (National Institute of Standards and Technology) degli Stati Uniti è di questa stessa linea di pensiero, e questo è evidente analizzando le sue nuove linee guida che scoraggiano la regolare e sistematica modifica delle password.
Ora, le organizzazioni e le aziende che gestiscono sistemi informatici in cui gli utenti si autenticano tramite password, non sono più esortate a chiedere a questi ultimi di cambiarle periodicamente, a meno che non si siano verificati casi di compromissione degli account. Il NIST stabilisce inoltre che le password dovrebbero essere lunghe almeno 8 caratteri, meglio se composte da 15 caratteri (e consentire l'immissione di un massimo di 64 caratteri), includendo una gamma completa di simboli, anche speciali.
Le restrizioni su composizioni complesse e schematiche, come l'uso obbligatorio di caratteri minuscoli e maiuscoli misti a simboli e numeri, sono ora anch'esse considerate dannose, poiché portano spesso gli utenti a optare per soluzioni semplici e facilmente decifrabili. Questo perché i sistemi di sicurezza potrebbero in questi casi permettere, paradossalmente, la creazione di password poco sicure (come “P@ssWorD!”) ma non quello di chiavi di sicurezza che dovrebbero essere ritenute più sicure (ad esempio “h3bJW1914Gdjnk5GY£IKND!”).
Oltre a ciò, il NIST specifica che l’uso di maiuscole, minuscole e simboli non è necessario per garantire la casualità di una password. In particolare, una password generata in modo casuale, non necessariamente beneficia in modo significativo dall’inclusione obbligatoria di questi caratteri. Anzi, l’obbligo stesso di doverli inserire tot caratteri maiuscoli, tot simboli e tot numeri può costituire un indizio che agevola gli attacchi da parte degli hacker.
Un’altra nuova indicazione del NIST è quella di non fornire suggerimenti per la password dopo alcuni tentativi di accesso falliti. Anche se queste indicazioni possono essere utili agli utenti più smemorati, che fanno fatica a ricordare le proprie password, rischiano di facilitare il compito ai criminali informatici, offrendo indizi che possono restringere il numero di tentativi necessari per individuare la password corretta con cui “bucare” un dato account.
Il NIST ha aggiornato anche altre due linee guida, prendendo atto dell’evoluzione tecnologica e del cambiamento nelle modalità di attacco. La prima riguarda le domande di sicurezza, ampiamente usate per verificare l’identità. Questo metodo, basato sull'immissione di risposte a domande pre-selezionate dall'utente, non sono più sicuri dal momento che i social network possono rendere alquanto facili da reperire informazioni che potrebbero rappresentare la soluzione ad alcune domande di sicurezza, come il nome del proprio animale domestico o il nome della scuola elementare frequentata da uno dei propri genitori.
Un altro aggiornamento notevole riguarda il processo di verifica delle password: il NIST ora stabilisce che per essere valida, la password immessa dev'essere controllata nella sua interezza, e non solo nei caratteri iniziali, come invece accade con alcuni sistemi datati. Questi vecchi metodi, che troncano le password oltre una certa lunghezza, espongono il sistema a vulnerabilità importanti: se un intruso indovina solo i primi caratteri, riuscirebbe comunque a ottenere accesso all'account della sua vittima.
I password manager sono potenti alleati per la sicurezza informatica
Alla luce delle nuove linee guida pubblicate dal NIST, è evidente quindi che i password manager sono potenti alleati per la propria “incolumità” informatica. Non essendo più necessario modificare frequentemente le chiavi di sicurezza dei propri account, infatti, ci si può concentrare sulla creazione di password altamente sicure, magari adoperando gli stessi generatori che sono inclusi in molti di questi gestori di password. Utilizzare questi strumenti, disponibili sia sotto forma di programmi desktop che come app per Android e iPhone, semplifica sia la creazione che la conservazione delle password.
Anche se il futuro è orientato verso un mondo senza password, grazie alla sempre più crescente adozione delle passkey (un metodo di autenticazione che permette di accedere ai propri account sfruttando i metodi di sblocco biometrici dei propri smartphone), per ora che le password rimangono un pilastro della sicurezza informatica ed è quindi fondamentale prestare attenzione alle indicazioni più recenti che vengono date dagli esperti di cybersecurity.
;Resize,width=270;)
;Resize,width=767;)
;Resize,width=712;)
;Resize,width=270;)
;Resize,width=270;)
;Resize,width=270;)
