Le nuove raccomandazioni apportate dal NIST oltre a riflettere l’evoluzione delle minacce informatiche, offrono un approccio più moderno e sicuro per la protezione dei nostri dati.
Il NIST è oramai da diversi anni un riferimento fondamentale per la sicurezza informatica, crea norme seguite a livello mondiale.
Tra le linee guida si sottolinea come la lunghezza della password debba prevalere sulla sua complessità. Prima veniva chiesto all’utente di usare una serie di simboli, tra cui numeri e lettere maiuscole e minuscole. Ora invece l’obiettivo è utilizzare password lunghe, come frasi significative. Queste ultime infatti sono molto più facili da ricordare e difficili da decifrare.
Inoltre, è stato eliminato l’obbligo di cambiare le password ogni 90 giorni. La loro modifica è consigliata solo in caso di compromissione. Per cercare di ridurre questo rischio il NIST ha creato una blacklisting impedendo l’uso di password deboli come “password123”.
Poiché non è sufficiente limitarsi a vietare l’utilizzo delle password poco sicure, è stata adottata una strategia preventiva nella quale i sistemi dovrebbero controllare regolarmente le possibili violazioni dei dati, con lo scopo di informare immediatamente l’utente nel caso in cui una password venisse compromessa.
Un altro cambiamento importante è l’autenticazione a più fattori (MFA): abbinare una password con un secondo fattore, come un’app di autenticazione o un token hardware, aumenta ulteriormente la sicurezza, in quanto rende più complesso l’accesso non autorizzato, anche nel caso in cui la password viene violata.
Queste nuove regole si focalizzano sulle pratiche che tutelano gli utenti, tenendo in considerazione le loro abitudini e i rischi attuali.
M.M.