Quando l'ingegnere Bill Burr del National Institute of Standards and Technology (NIST) degli Stati Uniti scrisse nel 2003 quello che presto sarebbe diventato il gold standard per la sicurezza delle password, ha consigliato alle persone e alle organizzazioni di proteggere i propri account inventando lunghe e "caotiche" righe di caratteri, numeri e segni e di cambiarli regolarmente.
Quattordici anni dopo, Burr ha ammesso di essersi pentito dei suoi consigli passati. "Fa solo impazzire le persone e non scelgono buone password, qualunque cosa tu faccia", ha detto ha detto al Wall Street Journal.
O, come il famoso xkcd comic l'ha messo: "In 20 anni di sforzi, abbiamo addestrato con successo tutti a utilizzare password difficili da ricordare per gli esseri umani, ma facili da indovinare per i computer."
In questi giorni, una persona normale ha fino a 100 password da ricordare, con il numero che è cresciuto rapidamente negli ultimi anni (anche se in realtà alcune persone utilizzato circa 50 password, tra cui una serie di codici offline, anche anni fa e alcuni esperti di sicurezza hanno sottolineato che tali abitudini e politiche relative alle password sono insostenibili.)
In effetti, gli studi hanno scoperto che le persone in genere ricordano solo fino a cinque password e prendere scorciatoie creando password facili da indovinare e poi riciclarli su vari account online. Alcuni potrebbero effettivamente sostituire numeri e caratteri speciali per lettere (ad esempio, "password" si trasforma in "P4??WØrd"), ma questo rende comunque una password facile da decifrare.
Negli ultimi anni, organizzazioni leader come The Open Web Application Security Project (OWASP) e, naturalmente, lo stesso NIST hanno cambiato le loro politiche e consigli verso un approccio più user-friendly, il tutto aumentando la sicurezza delle password.
Allo stesso tempo, giganti della tecnologia come Microsoft ed Google stanno incoraggiando tutti ad abbandonare del tutto le password e vai senza password Invece. Tuttavia, se la tua piccola o media impresa non è ancora pronta a separarsi dalle password, ecco alcune indicazioni che aiuteranno te e i tuoi dipendenti nel 2023.
Smetti di imporre regole di composizione della password inutilmente complesse
Eventuali regole di composizione eccessivamente complesse (come richiedere agli utenti di includere sia caratteri maiuscoli che minuscoli, almeno un numero e un carattere speciale) non sono più obbligatorie. Questo perché tali regole raramente incoraggiano gli utenti a impostare password più sicure, spingendoli invece ad agire in modo prevedibile e trovare password che sono un "doppio colpo": sono sia deboli che difficili da ricordare.
Passa alle passphrase
Invece di password più brevi ma difficili, vai per le passphrase. Sono più lunghi e più complessi ma comunque facili da ricordare. Ad esempio, potrebbe essere un'intera frase che ti è rimasta in testa per qualche motivo, cosparsa di lettere maiuscole, caratteri speciali ed emoji. Pur non essendo super complesso, ci vorranno comunque anni prima che gli strumenti automatizzati lo decifrano.
Alcuni anni fa, la lunghezza minima per una buona password era di otto caratteri, che consistevano in lettere minuscole e maiuscole, segni e numeri. Oggi, gli strumenti automatizzati di cracking delle password possono indovinare tale password in pochi minuti, specialmente se è protetta con la funzione di hashing MD5.
Questo è secondo test eseguiti da Hive Systems e pubblicato nell'aprile 2023. Al contrario, una semplice password che contiene solo caratteri minuscoli e maiuscoli ma è lunga 18 caratteri richiede molto, molto più tempo per essere decifrata.
Punta a una lunghezza minima di 12 caratteri: più sono, meglio è!
Le linee guida del NIST riconoscono la lunghezza come fattore chiave per la sicurezza della password e introducono una lunghezza minima richiesta di 12 caratteri fino a un massimo di 64 caratteri dopo aver combinato più spazi. A parità di condizioni, più siamo meglio è.
Abilita una varietà di caratteri
Quando impostano le password, gli utenti dovrebbero essere liberi di scegliere tra tutti i caratteri ASCII e UNICODE stampabili, inclusi gli emoji. Dovrebbero anche avere la possibilità di utilizzare gli spazi, che sono una parte naturale delle passphrase, un'alternativa spesso consigliata alle password tradizionali.
Bloccare il riutilizzo della password
Ormai è saggezza convenzionale le persone non dovrebbero riutilizzare le loro password su diversi account online, perché una violazione di un account può facilmente portare alla compromissione di altri account.
Tuttavia, molte abitudini sono dure a morire e circa la metà degli intervistati in uno studio del Ponemon Institute del 2019 ammesso di riutilizzare una media di cinque password nei propri account aziendali e/o personali.
Non impostare una data di scadenza per le password
Il NIST raccomanda inoltre di non richiedere modifiche regolari della password a meno che non sia richiesto dall'utente o a meno che non vi siano prove di compromissione. La logica è che gli utenti hanno solo tanta pazienza per dover pensare costantemente a nuove password ragionevolmente complesse. Di conseguenza, convincerli a farlo a intervalli regolari può fare più male che bene.
Quando Microsoft ha annunciato di abbandonare le politiche di scadenza della password tre anni fa, ha messo in dubbio l'intera idea della scadenza della password.
“Se è un dato di fatto che è probabile che una password venga rubata, quanti giorni è un periodo di tempo accettabile per continuare a consentire al ladro di utilizzare quella password rubata? L'impostazione predefinita di Windows è 42 giorni. Non sembra un tempo ridicolmente lungo? Bene, lo è, eppure la nostra attuale linea di base dice 60 giorni – e diceva 90 giorni – perché forzare la scadenza frequente introduce i suoi problemi “ legge il blog di Microsoft.
Tieni presente che questo è solo un consiglio generale. Se stai proteggendo un'app cruciale per la tua azienda e attraente per gli aggressori, puoi comunque costringere i tuoi dipendenti a cambiare periodicamente le password.
Elimina i suggerimenti e l'autenticazione basata sulla conoscenza
Anche i suggerimenti per la password e le domande di verifica basate sulla conoscenza sono obsoleti. Mentre questi potrebbero effettivamente aiutare gli utenti nella ricerca di password dimenticate, possono anche essere di grande valore per gli aggressori. Il nostro collega Jake Moore ha mostrato in diverse occasioni come gli hacker possano abusare della pagina “password dimenticata” su per entrare negli account di altre persone, ad esempio su PayPal ed Instagram.
Ad esempio, una domanda come "il nome del tuo primo animale domestico" può essere facilmente indovinata con un po' di ricerca o ingegneria sociale e non c'è davvero un numero infinito di possibilità che uno strumento automatizzato deve affrontare.
Password comuni nella lista nera
Piuttosto che fare affidamento su regole di composizione utilizzate in precedenza, controlla le nuove password rispetto a una "lista nera" di più comunemente usato e/o password precedentemente compromesse e valutare i tentativi di corrispondenza come inaccettabili.
Nel 2019, Scansione Microsoft gli account dei suoi utenti confrontando i nomi utente e le password con un database di oltre tre miliardi di set di credenziali trapelate. Ha trovato 44 milioni di utenti con password compromesse e ne ha forzato la reimpostazione.
Fornire supporto per gestori e strumenti di password
Assicurati che la funzionalità "copia e incolla", gli strumenti per la password del browser e i gestori di password esterni siano autorizzati a gestire la seccatura di creare e custodire le password degli utenti.
Gli utenti dovrebbero anche scegliere di visualizzare temporaneamente l'intera password mascherata o l'ultimo carattere digitato della password. Secondo le linee guida OWASP, l'idea è migliorare l'usabilità dell'immissione delle credenziali, in particolare per quanto riguarda l'uso di password più lunghe, passphrase e gestori di password.
Impostare una breve durata per le password iniziali
Quando il tuo nuovo dipendente crea un account, la password iniziale o il codice di attivazione generati dal sistema devono essere generati casualmente in modo sicuro, lunghi almeno sei caratteri e possono contenere lettere e numeri.
Assicurati che scada dopo un breve periodo di tempo e non possa diventare la vera password a lungo termine.
Notifica agli utenti le modifiche alla password
Quando gli utenti cambiano le loro password, dovrebbe essere chiesto loro di inserire prima la loro vecchia password e, idealmente, abilitare l'autenticazione a due fattori (2FA). Una volta fatto, dovrebbero ricevere una notifica.
Prestare attenzione al processo di recupero della password
Non solo il processo di recupero non dovrebbe rivelare la password corrente, ma lo stesso vale anche per le informazioni sull'effettiva esistenza o meno dell'account. In altre parole, non fornire agli aggressori informazioni (non necessarie)!
Usa CAPTCHA e altri controlli anti-automazione
Usa i controlli anti-automazione per mitigare i test delle credenziali violate, la forza bruta e gli attacchi di blocco degli account. Tali controlli includono il blocco delle password violate più comuni, blocchi soft, limitazione della velocità, CAPTCHA, ritardi sempre crescenti tra i tentativi, restrizioni dell'indirizzo IP o restrizioni basate sul rischio come posizione, primo accesso su un dispositivo, tentativi recenti di sbloccare l'account , o simili.
Secondo gli attuali standard OWASP, dovrebbero esserci al massimo 100 tentativi falliti all'ora su un singolo account.
Non fare affidamento esclusivamente sulle password
Indipendentemente da quanto sia forte e unica una password, rimane un'unica barriera che separa un utente malintenzionato e i tuoi dati preziosi. Quando si mira ad account sicuri, un ulteriore livello di autenticazione dovrebbe essere considerato un must assoluto.
Ecco perché dovresti utilizzare l'autenticazione a due fattori (2FA) o a più fattori (MFA) quando possibile.
Tuttavia, non tutte le opzioni 2FA nascono uguali. I messaggi SMS, sebbene di gran lunga migliori di nessun 2FA, sono suscettibili a numerose minacce. Alternative più sicure prevedono l'utilizzo di dispositivi hardware dedicati e generatori di password monouso (OTP) basati su software, come le app sicure installate sui dispositivi mobili.
Nota: questo articolo è una versione aggiornata ed estesa di questo articolo che abbiamo pubblicato nel 2017: Niente più inutili richieste di password
Forse dai un'occhiata Il generatore di password di ESET?
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Grafico Prime. Migliora il tuo gioco di trading con ChartPrime. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/
- :ha
- :È
- :non
- $ SU
- 1
- 100
- 12
- 20
- 20 anni
- 2017
- 2019
- 2023
- 2FA
- 50
- 60
- 7
- a
- WRI
- Assoluta
- abuso
- accettabile
- Secondo
- Il mio account
- conti
- riconoscere
- operanti in
- Legge
- Attivazione
- effettivamente
- aggiuntivo
- indirizzo
- ammesso
- consigli
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- Ages
- fa
- Mirare
- Tutti
- consentire
- anche
- alternativa
- alternative
- Sebbene il
- del tutto
- an
- ed
- ha annunciato
- in qualsiasi
- App
- Applicazioni
- sicurezza delle applicazioni
- approccio
- applicazioni
- Aprile
- SONO
- in giro
- articolo
- AS
- At
- attacchi
- Tentativi
- attraente
- Autenticazione
- Automatizzata
- media
- barriera
- Linea di base
- BE
- perché
- diventare
- stato
- essendo
- Meglio
- fra
- Conto
- Miliardo
- Po
- blocco
- Blog
- Dezen Dezen
- entrambi
- violazione
- Rompere
- del browser
- forza bruta
- affari
- ma
- by
- Materiale
- non può
- attento
- Custodie
- casi
- il cambiamento
- Modifiche
- carattere
- caratteri
- dai un'occhiata
- Scegli
- codice
- codici
- collega
- combinando
- Venire
- Uncommon
- comunemente
- confronto
- complesso
- composizione
- compromesso
- Compromissione
- computer
- considerato
- costantemente
- contenere
- contiene
- continua
- contrario
- controlli
- convenzionale
- Portata
- crepa
- Creazione
- CREDENZIALI
- Credenziali
- cruciale
- Corrente
- dati
- Banca Dati
- Data
- Giorni
- dedicato
- Predefinito
- ritardi
- dispositivo
- dispositivi
- *
- diverso
- difficile
- Dsiplay
- do
- non
- fatto
- Dont
- giù
- unità
- lancio
- e
- facilmente
- facile
- sforzo
- o
- Dipendente
- dipendenti
- enable
- incoraggiare
- incoraggiando
- Senza fine
- ingegnere
- Ingegneria
- entrare
- Intero
- iscrizione
- pari
- particolarmente
- stabilisce
- valutare
- Anche
- sempre crescente
- tutti
- prova
- esempio
- esiste
- esperti
- scadenza
- esterno
- fatto
- fattore
- fallito
- famoso
- lontano
- pochi
- Nome
- Nel
- forza
- essere trovato
- Gratis
- frequente
- da
- function
- funzionalità
- Generale
- generato
- Generatori
- ottenere
- giganti
- dato
- Go
- buono
- grande
- Crescita
- indovinato
- guida
- linee guida
- hacker
- Metà
- maniglia
- Hard
- Hardware
- dispositivi hardware
- nuocere
- hashing
- Avere
- avendo
- he
- capo
- Aiuto
- nascosto
- suggerimenti
- il suo
- Alveare
- ora
- Come
- Tuttavia
- HTML
- HTTPS
- Gli esseri umani
- idea
- idealmente
- if
- imponente
- competenze
- in
- In altre
- includere
- Compreso
- crescente
- informazioni
- inizialmente
- installato
- invece
- Istituto
- ai miglioramenti
- introdurre
- Introduce
- coinvolgere
- IP
- Indirizzo IP
- IT
- SUO
- stessa
- jpg
- ad appena
- Le
- fattore chiave
- Cognome
- dopo
- strato
- portare
- principale
- meno
- Lunghezza
- Vita
- piace
- probabile
- limitativo
- Linee
- piccolo
- località
- serrata
- accesso
- Lunghi
- a lungo
- a lungo termine
- più a lungo
- inferiore
- FA
- I gestori
- molti
- corrispondenza
- Importanza
- massimo
- Maggio..
- MD5
- messaggi
- AMF
- Microsoft
- forza
- milione
- mente
- ordine
- Minuti
- Ridurre la perdita dienergia con una
- Mobile
- dispositivi mobili
- Scopri di più
- maggior parte
- molti
- multiplo
- devono obbligatoriamente:
- il
- Naturale
- New
- nista
- no
- notifica
- adesso
- numero
- numeri
- numerose
- obsoleto
- occasioni
- of
- offline
- Vecchio
- on
- una volta
- ONE
- online
- esclusivamente
- aprire
- Opzione
- Opzioni
- or
- minimo
- organizzazioni
- Altro
- nostro
- su
- proprio
- pagina
- parte
- particolarmente
- Password
- reimpostazione della password
- Le password
- passato
- Pazienza
- Persone
- persone
- per
- periodo
- persona
- cronologia
- scegliere
- Platone
- Platone Data Intelligence
- PlatoneDati
- Termini e Condizioni
- politica
- possibilità
- possibile
- in precedenza
- problemi
- processi
- progetto
- protegge
- fornire
- pubblicato
- metti
- domanda
- Interrogato
- Domande
- generato in modo casuale
- veloce
- raramente
- tasso
- fondamento logico
- raggiungendo
- pronto
- veramente
- ragione
- ricevere
- recente
- raccomanda
- recupero
- Basic
- regolarmente
- fare affidamento
- resti
- ricorda
- necessario
- riparazioni
- intervistati
- restrizioni
- colpevole
- riutilizzare
- rivelare
- norme
- Correre
- s
- stesso
- dire
- dice
- Cerca
- sicuro
- assicurato
- in modo sicuro
- fissaggio
- problemi di
- sembrare
- condanna
- separazione
- set
- Set
- alcuni
- Lo scaffale
- Corti
- dovrebbero
- mostrato
- Segni
- simile
- Un'espansione
- singolo
- SIX
- piccole
- sms
- So
- Social
- Ingegneria sociale
- Soft
- alcuni
- presto
- spazi
- la nostra speciale
- stare in piedi
- Standard
- standard
- Ancora
- rubare
- strada
- forza
- forte
- più forte
- studi
- Con successo
- tale
- Super
- supporto
- sicuro
- adatto
- Fai
- prende
- Tech
- giganti della tecnologia
- Tecnologia
- Testing
- di
- che
- Il
- loro
- Li
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cose
- think
- questo
- minacce
- tre
- Attraverso
- tempo
- suggerimenti
- a
- oggi
- strumenti
- verso
- tradizionale
- allenato
- vero
- si
- tipicamente
- noi
- unico
- sbloccare
- inutilmente
- inutile
- insostenibile
- aggiornato
- usabilità
- uso
- utilizzato
- Utente
- user-friendly
- utenti
- utilizzando
- Prezioso
- APPREZZIAMO
- varietà
- vario
- verifica
- versione
- Visualizza
- Muro
- Wall Street
- Prima
- modi
- we
- sito web
- applicazione web
- WELL
- Che
- quando
- ogni volta che
- se
- quale
- while
- tutto
- perché
- larghezza
- volere
- finestre
- saggezza
- con
- parole
- Il mondo di
- sarebbe
- ha scritto
- WSJ
- anni
- ancora
- Tu
- Trasferimento da aeroporto a Sharm
- youtube
- zefiro