Politiche di base per le password dei dipendenti
I requisiti per la creazione di password da parte dei dipendenti sono ancora alla base della gestione delle password a livello organizzativo. Sebbene sia sempre meglio richiedere ai dipendenti di creare password lunghe, forti e uniche, alcuni altri parametri sono cambiati nell’ultimo decennio.
Né Microsoft né il National Institute of Standards and Technology (NIST) raccomandano attualmente di “ruotare” le password, ossia di obbligare i dipendenti a crearne di nuove periodicamente.
Se si obbliga qualcuno a scegliere una nuova password ogni pochi mesi, si useranno molte password deboli invece di una singola password forte. Le nuove password dovrebbero essere obbligate solo se la vecchia password è stata sottratta, dimenticata, rubata in una violazione dei dati o compromessa in altro modo.
Sia Microsoft che il NIST hanno inoltre abbandonato le linee guida sulla “composizione” che raccomandavano che ogni password fosse una combinazione di lettere minuscole e maiuscole, cifre e segni di punteggiatura.
In base a tali regole, molti utenti iniziavano con le parole del dizionario e poi facevano ovvie sostituzioni e aggiunte, così che, ad esempio, “horsefly” diventava “h0r53Fly!”. Poiché gli aggressori dispongono di elenchi precompilati di parole del dizionario e delle loro varianti più comuni, il secondo tipo di password non è molto più sicuro del primo.
È meglio creare password più lunghe, anche se composte da più parole del dizionario. Il NIST raccomanda che le organizzazioni consentano password fino a 64 caratteri, il che consentirebbe di utilizzare facilmente la classica passphrase del tipo “cavallo corretto della batteria”.
Questo non significa che i caratteri speciali siano esclusi. Il NIST insiste sul fatto che l’intero set di caratteri ASCII deve essere accettato come input valido per le password. L’istituto governativo raccomanda di accettare anche l’intero set di caratteri Unicode, anche se l’intera gamma di caratteri Unicode potrebbe essere fuori dalla portata di alcuni browser web.
Questo non significa nemmeno che le password saranno più facili da creare. Il NIST raccomanda di vietare le singole parole del dizionario, le password conosciute come compromesse, i caratteri ripetuti (come “aaaaaa”) e le sequenze comuni (come “abc123”). Inoltre, le password dovrebbero avere una lunghezza minima di otto caratteri, anche se si consigliano password molto più lunghe.
Sia il NIST che Microsoft raccomandano inoltre di incoraggiare o addirittura richiedere l’autenticazione a più fattori (MFA). Tuttavia, il NIST non raccomanda più di utilizzare i messaggi di testo SMS come vettore per la trasmissione di codici di accesso temporanei da utilizzare una sola volta: sono troppo facili da compromettere.
Fonti:
