Il panorama della sicurezza informatica sta vivendo una significativa evoluzione, guidata dalle recenti proposte del National Institute of Standards and Technology (NIST). Questo ente federale, che funge da faro per le pratiche tecnologiche nel settore pubblico e privato, ha recentemente presentato una bozza di revisione delle sue linee guida sull’identità digitale, nota come SP 800-63-4.

Questa nuova versione sfida molte delle convenzioni consolidate riguardo alla gestione delle password, proponendo un approccio che potrebbe sembrare controintuitivo a prima vista, ma che in realtà è fondato su una comprensione più approfondita del comportamento degli utenti e delle reali minacce alla sicurezza. Al centro di questa revisione c’è il riconoscimento del fatto che alcune pratiche tradizionali, inizialmente concepite per rafforzare la sicurezza, possono in realtà comprometterla.

Un esempio lampante è l’abolizione della richiesta di cambiare periodicamente le password. Questa pratica, un tempo considerata essenziale, è ora vista come potenzialmente dannosa, poiché spinge gli utenti a creare password più deboli e facili da ricordare.

Analogamente, il NIST suggerisce di abbandonare le regole rigide sulla composizione delle password, come l’obbligo di utilizzare una combinazione specifica di caratteri maiuscoli, minuscoli, numeri e simboli. L’istituto sostiene infatti che questi requisiti non aumentano necessariamente la sicurezza se la password è sufficientemente lunga e casuale.

Il documento propone inoltre di eliminare l’uso di domande di sicurezza e suggerimenti per le password, riconoscendo che queste pratiche possono creare ulteriori vulnerabilità anziché rafforzare la protezione degli account.

phishing

Invece, il NIST raccomanda di concentrarsi sulla lunghezza delle password, suggerendo un minimo di otto caratteri ma incoraggiando fortemente l’uso di password più lunghe fino a 64 caratteri. L’istituto sottolinea anche l’importanza di permettere l’uso di tutti i caratteri ASCII stampabili e degli spazi, nonché dei caratteri Unicode, per favorire la creazione di password più robuste e diversificate.

Un altro punto chiave delle nuove linee guida è la raccomandazione di forzare il cambio password solo in caso di compromissione accertata dell’account, piuttosto che come pratica periodica di routine.

Sebbene queste linee guida non siano immediatamente vincolanti per tutte le organizzazioni, rappresentano un importante cambiamento di paradigma nel modo in cui pensiamo alla sicurezza delle password e riflettono una comprensione più sofisticata del comportamento umano e delle reali minacce alla sicurezza informatica.

L’adozione di queste nuove pratiche potrebbe portare a un significativo miglioramento della sicurezza digitale, riducendo il carico cognitivo sugli utenti e concentrando gli sforzi su misure che offrono un reale incremento della protezione. Tuttavia, la transizione verso questo nuovo approccio richiederà un cambiamento culturale significativo sia tra i professionisti della sicurezza informatica, sia tra gli utenti finali.