Il NIST (National Institute for Standards and Technology) è un organismo USA che è di fatto il punto di riferimento quando ci si approccia ai temi della sicurezza informatica e della crittografia. Per spiegarmi meglio, vi basti sapere che è l’Ente che si occupa di verificare la solidità degli algoritmi crittografici, dichiararli eventualmente deprecati o sconsigliati quando si dimostra che possono essere facilmente violati; inoltre, il NIST periodicamente seleziona gli algoritmi crittografici che suggerisce che siano usati come “buona prassi” da chiunque abbia la necessità di gestire le credenziali di terze parti.
Già alcuni anni fa, l’Ente americano propose di superare il semplice concetto di password per adottare quello più ampio e solido delle passphrase, suggerendo così di creare password complesse (che in realtà sono vere e proprie frasi) che possano essere facilmente ricordate dagli utenti. Adesso, con un documento di ben 35.000 pagine, il NIST torna sull’argomento ribadendo le proprie preoccupazioni sulla gestione delle password, soprattutto sul versante dell’utilizzatore finale.
Il pensiero del NIST può essere semplicisticamente sintetizzato così:
troppe regole per la creazione delle password inducono l’utente a usare sempre la solita password facile.
A ben vedere, questo altro non è che un corollario della preoccupazione espressa già in passato dallo stesso organismo, quando proponeva di usare le passphrase in luogo delle password, e che all’incirca poteva sintetizzarsi così:
imporre password troppo complesse inducono l’utente a usare sempre una password facile da ricordare.
Il pensiero del NIST, quindi, sposta il centro dell’attenzione dall’intrinseca complessità delle password alla eccessiva serie di regole stringenti che porterebbero alla creazione di dette password troppo complesse.
Chi ha a che fare quotidianamente con un informatico nel luogo di lavoro, sa benissimo che quest’ultimo ripete una serie di regole per le password come se fosse una moderna preghiera:
Questa cantilena vi verrà ripetuta ogni volta che il vostro informatico vi dirà di dover cambiare la password al computer; in tanti altri uffici, poi, a queste regole di base si aggiungono anche le due regole aggiuntive:
Ebbene, il NIST adesso sostiene che tutte queste regole siano controproducenti e, anziché incrementare la sicurezza informatica, alla fine contribuiranno a ridurla sensibilmente poiché gli utenti dovrebbero applicare quelle regole a scadenze prefissate e – comunque – verrebbero portati a fare soltanto delle varianti di password già in uso e facilmente violabili. Per queste ragioni, l’Ente americano stila una serie di indicazioni che dovrebbero avere come conseguenza il superamento delle regole canoniche sin qui riportate.
Volendo fare un sunto delle nuove indicazioni del NIST, possiamo riportare quanto di seguito;:
Questa visione del NIST non passerà inosservata presso gli addetti ai lavori del settore della sicure<zza informatica e – molto probabilmente – susciterà accese discussioni.
segnaposto paragrafo 1
segnaposto paragrafo 2
Iscriviti al mio canale Telegram: https://t.me/matteoriso_it per ricevere le notizie direttamente sul tuo smartphone.
