Nuove specifiche NIST per le password

Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000.

A luglio 2017 il NIST ha pubblicato una nuova versione della SP 800-63B “Digital Identity Guidelines: Authentication and Lifecycle Management“.

Il NIST è il National Institute for Standards and Technology è tra gli enti più autorevoli in materia di sicurezza informatica.

Il punto più rilevante si trova al paragrafo 5.1.1 “Memorized secrets” e all’Appendix A. Essi suggeriscono di usare password lunghe almeno 8 caratteri, facili da ricordare e da cambiare solo quando si pensa siano state compromesse. Non sono più suggerite password complesse (con lettere maiuscole, minuscole, numeri e caratteri speciali) e da cambiare periodicamente.

I requisiti

I requisiti del NIST impongono di lasciare liberi gli utenti di scegliere le proprie password, purché di almeno 8 caratteri e non facilmente identificabili da un malintenzionato.

Il NIST quindi suggerisce di predisporre un elenco di password troppo semplici in modo da impedire agli utenti di usarle. Si intendono come “password troppo semplici”:

  • quelle già diffuse a seguito di altri attacchi;
  • parole del dizionario;
  • caratteri sequenziali o ripetuti, come 1234 e aaaa;
  • parole derivate dal nome del servizio (per esempio, Facebook dovrebbe impedire agli utenti di usare password come “Facebook” o “Facebook01” o “Facebook-Cesare”);
  • parole che contengono il nome, il cognome o l’user-id dell’utente.

Quando un sistema impedisce all’utente di usare una certa password, deve anche riportarne la ragione.

Per i servizi online bisogna inoltre prevedere ulteriori misure. Per esempio bloccare l’utenza dopo alcuni tentativi di inserimento di password sbagliate, valutando però la possibilità che un malintenzionato possa provare deliberatamente password errate per bloccare l’utente (il NIST non suggerisce un numero di tentativi dopo i quali bloccare l’utente).

Il NIST non riporta una misura spesso usata, ossia il blocco temporaneo del servizio, anche per pochi minuti, dopo un certo numero di tentativi errati di inserire la password. Questa misura ha il pregio di non bloccare completamente il servizio e rallentare, fino a renderli inefficaci, i tentativi di attacco.

Il NIST non suggerisce neanche di attivare allarmi indirizzati all’assistenza o all’utente dopo che è stato inserito un certo numero di password sbagliate. Questo permetterebbe loro di rilevare quando il servizio è sotto attacco.

Misura importante del NIST prevede che il sistema non debba imporre agli utenti di cambiare la password periodicamente, se non quando si ritiene possa essere stata compromessa.

Ulteriori requisiti tecnici:

  • l’utente dovrebbe poter scegliere password fino ad almeno 64 caratteri (e il sistema non deve troncarle quando ne calcola gli hash);
  • l’utente dovrebbe poter usare tutti i caratteri ASCII e UNICODE e gli spazi (deve essere quindi prevista una normalizzazione, anche per evitare gli attacchi Internet più diffusi);
  • i sistemi non devono proporre agli utenti di scrivere dei suggerimenti per ricordare la password;
  • i sistemi non devono proporre metodi di ripristino delle password basati su domande personali (per esempio il cognome da nubile della propria madre);
  • per aiutare gli utenti nella scelta della password, è suggerito di usare dei “metri di complessità”;
  • il campo di inserimento delle credenziali deve accettare che vengano incollati dei valori, in modo da facilitare l’uso di strumenti di password management;
  • l’utente dovrebbe poter scegliere se vedere la password mentre la inserisce (lasciandogli così la responsabilità di eventuali compromissioni, nel caso qualcuno la spii);
  • sui dispositivi mobili, così come già succede, l’utente dovrebbe poter vedere i caratteri di volta in volta inseriti, prima che vengano nascosti.

Le ragioni

Per quanto riguarda la complessità, il NIST sconsiglia di prescrivere regole troppo rigorose, visto che spesso gli utenti riescono ad aggirare la richiesta con scelte banali, per esempio usando al posto di “password” la stringa “Password1”. Questo è stato verificato negli anni a seguito delle compromissioni a diversi sistemi.

In altri casi, la complessità porta gli utenti a scrivere le proprie password su un foglietto vicino al pc, annullando (o peggiorando) la misura. Infine si è notato che cambi di password troppo frequenti e complessità troppo elevate aumentano le richieste di aiuto agli addetti dell’assistenza, impedendo loro di essere più efficaci in altre attività, anche di sicurezza.

Per quanto riguarda la lunghezza, non necessariamente elevata, il NIST suddivide l’analisi in due parti, relative agli attacchi offline e online.

Per quanto riguarda gli attacchi offline, ossia quando il malintenzionato riesce ad impossessarsi del “file delle password” o di un pc, si osserva che la possibilità di indovinare la password non dipende dalla sua lunghezza, visto che ne è memorizzato solo un valore hash, che ha proprio la caratteristica di essere indipendente dalla lunghezza dell’input.

Per quanto riguarda gli attacchi online, si ritiene che una lunghezza minima di 8 caratteri, insieme alle altre misure di controllo sopra riportate, sia sufficiente ad impedire il successo degli attacchi. Questo anche considerando che gli attacchi riusciti ai sistemi online non sfruttano tecniche non di forza bruta, ma, per esempio, di social engineering.

Per quanto riguarda il cambio periodico delle password, il NIST rileva che questo non porta alcun beneficio. Purtroppo non sono presenti ragionamenti in merito agli ambienti in cui gli utenti si scambiano le password (anche se proibito o sconsigliato) o le usano su strumenti non personali o aziendali (e quindi ricavabili dalla cache dello strumento). Infatti il cambio periodico della password permette di “azzerare” queste situazioni.

Conclusioni

È sempre opportuno seguire le indicazioni del NIST. In questo caso è però necessario osservare che quasi nessun sistema ad oggi disponibile sul mercato mette a disposizione blacklist di password (né in inglese né in italiano) e pertanto sarà ancora necessario usare per qualche tempo i precedenti parametri di complessità.

Per quanto riguarda il cambiamento periodico delle password, finché in Italia sono in vigore le misure minime prescritte dal D. Lgs. 196 del 2003 (Codice privacy), quelle che controllano l’accesso a dati personali devono essere comunque cambiate ogni 3 mesi (o 6 nel caso i dati non siano sensibili).

A cura di: Cesare Gallotti

Profilo Autore

Lavora dal 1999 nel campo della sicurezza delle informazioni, della qualità e della gestione dei servizi IT.
Ha condotto progetti di consulenza per la pubblica amministrazione e per il settore privato. Opera, sia in Italia che all’estero, come Lead Auditor ISO/IEC 27001, ISO 9001, ISO/IEC 200000 e ISO 22301. Ha progettato ed erogato corsi di Quality Assurance e di certificazione Lead Auditor ISO/IEC 27001 e ITIL Foundation.
Tra gli attestati si segnalano: le certificazioni AICQ SICEV Lead Auditor ISO/IEC 27001, IRCA Lead Auditor 9001, CISA, ITIL Expert e CBCI, la qualifica come Lead Auditor ISO/IEC 20000 e il perfezionamento postlaurea in “Computer Forensics e investigazioni digitali”.

Condividi sui Social Network:

Articoli simili