Linee guida per le password del NIST

Il National Institute of Standards and Technology (NIST) definisce i parametri di sicurezza per le istituzioni governative. Il NIST assiste le organizzazioni per le necessità amministrative coerenti. Negli ultimi anni, il NIST ha rivisto le linee guida per le password. Gli attacchi Account Takeover (ATO) sono diventati un business gratificante per i criminali informatici. Uno dei membri del top management del NIST ha espresso le sue opinioni sulle linee guida tradizionali, in un'intervista "la produzione di password facili da indovinare per i malintenzionati è difficile da indovinare per gli utenti legittimi.” (https://spycloud.com/new-nist-guidelines). Ciò implica che l'arte di scegliere le password più sicure coinvolge una serie di fattori umani e psicologici. Il NIST ha sviluppato il Cybersecurity Framework (CSF) per gestire e superare i rischi per la sicurezza in modo più efficace.

NIST Cybersecurity Framework

Conosciuto anche come "Critical Infrastructure Cybersecurity", il framework di sicurezza informatica del NIST presenta un'ampia disposizione di regole che specificano come le organizzazioni possono tenere sotto controllo i criminali informatici. Il CSF del NIST comprende tre componenti principali:

• Nucleo: Guida le organizzazioni a gestire e ridurre il rischio di sicurezza informatica.
• Livello di implementazione: Aiuta le organizzazioni fornendo informazioni sulla prospettiva dell'organizzazione sulla gestione del rischio della sicurezza informatica.
• Profilo: La struttura unica dell'organizzazione dei suoi requisiti, obiettivi e risorse.

Raccomandazioni

Di seguito sono inclusi suggerimenti e raccomandazioni forniti dal NIST nella sua recente revisione delle linee guida per le password.

• Lunghezza caratteri: Le organizzazioni possono scegliere una password con una lunghezza minima di 8 caratteri, ma è altamente raccomandato dal NIST di impostare una password fino a un massimo di 64 caratteri.
• Prevenzione dell'accesso non autorizzato: Nel caso in cui una persona non autorizzata abbia tentato di accedere al tuo account, si consiglia di rivedere la password in caso di tentativo di furto della password.
• Compromesso: Quando piccole organizzazioni o semplici utenti incontrano una password rubata, di solito cambiano la password e dimenticano cosa è successo. Il NIST suggerisce di elencare tutte quelle password che vengono rubate per uso presente e futuro.
• Suggerimenti: Ignora suggerimenti e domande di sicurezza durante la scelta delle password.
• Tentativi di autenticazione: Il NIST raccomanda vivamente di limitare il numero di tentativi di autenticazione in caso di errore. Il numero di tentativi è limitato e sarebbe impossibile per gli hacker provare più combinazioni di password per l'accesso.
• Copia e incolla: Il NIST consiglia di utilizzare le funzionalità di incolla nel campo della password per la facilità dei gestori. Contrariamente a ciò, nelle linee guida precedenti, questa funzione di pasta non era raccomandata. I gestori di password utilizzano questa funzione di incolla quando si tratta di utilizzare una singola password principale per accedere alle password disponibili.
• Regole di composizione: La composizione dei caratteri potrebbe causare insoddisfazione da parte dell'utente finale, quindi si consiglia di saltare questa composizione. Il NIST ha concluso che l'utente di solito mostra una mancanza di interesse nell'impostazione di una password con composizione di caratteri, che di conseguenza indebolisce la sua password. Ad esempio, se l'utente imposta la propria password come 'timeline', il sistema non la accetta e chiede all'utente di utilizzare una combinazione di caratteri maiuscoli e minuscoli. Successivamente, l'utente dovrà modificare la password seguendo le regole del compositing impostate nel sistema. Pertanto, il NIST suggerisce di escludere questo requisito di composizione, poiché le organizzazioni potrebbero subire un effetto sfavorevole sulla sicurezza.
• Uso dei personaggi: Di solito, le password contenenti spazi vengono rifiutate perché lo spazio viene contato e l'utente dimentica i caratteri dello spazio, rendendo difficile la memorizzazione della password. Il NIST consiglia di utilizzare qualsiasi combinazione l'utente desideri, che può essere più facilmente memorizzata e richiamata quando richiesto.
• Cambio di password: Le modifiche frequenti alle password sono per lo più consigliate nei protocolli di sicurezza organizzativi o per qualsiasi tipo di password. La maggior parte degli utenti sceglie una password facile e memorizzabile da modificare nel prossimo futuro per seguire le linee guida di sicurezza delle organizzazioni. Il NIST consiglia di non cambiare la password frequentemente e di scegliere una password sufficientemente complessa da poter essere eseguita a lungo per soddisfare l'utente e i requisiti di sicurezza.

Cosa succede se la password è compromessa??

Il lavoro preferito degli hacker è violare le barriere di sicurezza. A tal fine, lavorano per scoprire possibilità innovative da attraversare. Le violazioni della sicurezza hanno innumerevoli combinazioni di nomi utente e password per rompere qualsiasi barriera di sicurezza. La maggior parte delle organizzazioni ha anche un elenco di password accessibili agli hacker, quindi bloccano qualsiasi selezione di password dal pool di elenchi di password, che è accessibile anche agli hacker. Tenendo presente la stessa preoccupazione, se un'organizzazione non è in grado di accedere all'elenco delle password, il NIST ha fornito alcune linee guida che un elenco di password può contenere:

• Un elenco di quelle password che sono state violate in precedenza.
• Parole semplici selezionate dal dizionario (e.g., 'contenere,'accettato,' ecc.)
• Caratteri della password che contengono ripetizioni, serie o una serie semplice (e.g. 'cccc,'abcdef' o 'a1b2c3').

Perché seguire le linee guida del NIST??

Le linee guida fornite dal NIST tengono in considerazione le principali minacce alla sicurezza relative agli hack delle password per molti diversi tipi di organizzazioni. La cosa buona è che, se osservano una violazione della barriera di sicurezza causata dagli hacker, il NIST può rivedere le proprie linee guida per le password, come fanno dal 2017. D'altra parte, altri standard di sicurezza (e.g., HITRUST, HIPAA, PCI) non aggiornano o rivedono le linee guida iniziali di base che hanno fornito.