Password aziendali: come scegliere la parola d’ordine più sicura per il pc del lavoro secondo NIST

Imprenditori di tutta Italia, state in campana!
Sono uscite le nuove direttive del NIST in materia di sicurezza delle password ed è arrivato il momento di adeguarsi.
Ma prima, un passo indietro!
Che cos’è il NIST?
Parlare di NIST in ambito Sicurezza Informatica è esattamente come parlare di Barilla nel settore Food. Se con questo paragone ancora non avessimo reso bene l’idea dell’attendibilità della fonte vi spieghiamo meglio di cosa si tratta.
Il NIST è l’agenzia del governo USA che nello specifico si occupa della gestione delle tecnologie. La massima espressione di sicurezza e tecnologie connesse degli Stati Uniti. Ogni anno quest’agenzia pubblica un manuale chilometrico, considerato alla stregua di uno standard internazionale, con tutte le indicazioni per generare password praticamente inviolabili da chiunque.
In poche parole, se NIST comunica quali sono gli step da seguire per avere password sicure, noi ci fidiamo ciecamente e di seguito vi riportiamo quanto abbiamo appreso.
E quindi: Password Sicure 2020 orecchie ben aperte!
Sicurezza delle Password: ecco i 5 requisiti del governo USA
Requisito 1 per la Sicurezza delle Password

Obbligare gli utenti a cambiare ciclicamente la password di accesso è estremamente rischioso.
Secondo NIST questa pratica è obsoleta e pressoché inutile. Questo perché l’utente medio non appena riceve la richiesta di cambio password, tende a scegliere una nuova password prevedibile o simile alla precedente. Ovvero: Password1, Password2, Password3 e via discorrendo.
Per evitare dunque di mettere in pericolo l’accessibilità al vostro device, NIST suggerisce di non cambiare le password di accesso, a meno che, non si tratti di credenziali già violate.
Requisito 2 per la Sicurezza delle Password
Lunghezza della password e caratteri accettati
Secondo NIST qualsiasi password dovrebbe essere di lunghezza compresa tra 8 e 64 caratteri inoltre, ogni carattere dovrebbe essere accettato. Nella scelta della password più sicura dovrebbe essere lasciata all’utente la facoltà di inserire qualsiasi carattere, compresi anche i caratteri speciali come . , [ ( ) ] ‘ & ; ? \ : ; “
Oggi questo non accade, o almeno non per tutti!
Requisito 3 per la Sicurezza delle Password

Stop alle domande di sicurezza: tecnica ormai sorpassata e da debellare secondo NIST e noi siamo pianamente d’accordo
Vi è mai capitato di perdere la password di accesso e di dover “Rispondere alle domande di sicurezza“? Chiamate hint tra gli informatici, sono una vera e propria calamita per l’insicurezza. Ne ricordate qualcuna? Vi rinfreschiamo la memoria noi:
- Qual era il cognome da nubile di tua madre?
- Qual era il nome della scuola elementare?
- Il nome del tuo primo animale?
- La tua squadra del cuore?
Sappiate che un hacker esperto in 10 tentativi riesce a trovare facilmente la risposta ad ognuna di esse.
Requisito 4 per la Sicurezza delle Password
Funzione “copia-incolla” password e virtualizzazione in chiaro della password: yes please!
NIST consiglia fortemente ai servizi web di implementare queste due funzioni per la scelta delle password. Entrambi sono pratiche comode, ugualmente sicure per l’utente e lo agevolano nella scelta di password più complesse.
Requisito 5 per la Sicurezza delle Password
Autenticazione multi-fattore o Autenticazione a due fattori: spesso sottovalutata e oggi più che mai consigliata da NIST
Il governo degli Stati Uniti consiglia alle aziende di implementare questo sistema di sicurezza password. Di che cosa si tratta? Si tratta di un applicazione per smartphone che genera automaticamente codici o password a tempo: un codice è formato in media da 5/6 cifre e ha una durata massima di 60 secondi. Scaduto il tempo la password non ha più valore.
Conclusioni
Se siete interessati ad approfondire l’argomento Password Sicure vi consigliamo la lettura dell’intero faldone di documenti NIST SP (Standard Pubblication) 800 ed in particolare i documenti per fanno riferimento alla sicurezza delle password, vi inseriamo il link qui.
Ma se seguite alla lettera le istruzioni NIST che vi abbiamo riassunto in questo articolo per la sicurezza delle vostre password riuscirete finalmente a placare le cause di accesso di hacker ai vostri sistemi informatici e potrete finalmente lavorare con più serenità.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.