Il NIST dice no, alle credenziali compromesse

09/07/2021
Governi e aziende, stanno riconoscendo quanto siano vulnerabili i loro cittadini e dipendenti agli attacchi informatici e stanno iniziando a essere coinvolti, negli Stati Uniti, infatti, il National Institute of Standards and Technology (NIST) ha pubblicato la Digital Identity Guidelines che include una pubblicazione sull’Authentication and Lifecycle Management che è stata per la prima volta pubblicato nel giugno del 2017 ed è stato aggiornato di recente a marzo del 2020.

Non è che non sia mai stato detto prima, le password sono vulnerabili agli attacchi, le password possono essere facili da indovinare, le password possono essere violate utilizzando generatori di password casuali e, una volta violata una password in un sistema, può essere spesso utilizzata per violare un altro sistema perché gli utenti notoriamente riutilizzano le password per più sistemi.

Hanno specificamente raccomandato alle organizzazioni di adottare alcuni semplici passaggi per prevenire semplici attacchi di password.

Esistono diversi tipi di attacchi informatici che sfruttano le password deboli e gli utenti che utilizzano le password su più siti:

  • Brute Force Attacks – Attacchi che provando combinazioni casuali di caratteri e numeri per “indovinare” le credenziali per l’accesso di un utente. Fondamentalmente bombardano una pagina di accesso con possibili credenziali fino a quando non hanno successo. Meno complessa è la password di un utente, più è probabile che un attacco di forza bruta abbia successo.
  • Dictionary Attacks – Gli attacchi con dizionario utilizzano password note, password comunemente utilizzate per cercare di “indovinare” la password di un utente e accedervi. Il fatto che molti utenti utilizzino password come “12345678” o “password” rende efficaci gli attacchi con dizionario.
  • Credential Stuffing – Questo tipo di attacco, utilizza nomi utente e password noti che sono stati violati per accedere agli account. Poiché è probabile che gli utenti utilizzino le stesse credenziali come un particolare indirizzo e-mail e una password significativa per più applicazioni, il Credential Stuffing è abbastanza efficiente. Quest’anno è stato scoperto un database COMB, o Compilation of Many Breaches, con oltre 3,2 miliardi di combinazioni di nome utente e password ottenute da violazioni precedenti. Questi dati sono disponibili sul dark web per essere utilizzati dai criminali informatici a loro piacimento.

La pubblicazione speciale NIST 800-63B, Digital Identity Guidelines: Authentication and Lifecycle Management, raccomanda che “le password scelte dagli utenti vengano confrontate con una “blacklist” di password inaccettabili. Questo elenco dovrebbe includere password di precedenti corpus di violazioni, parole del dizionario e parole specifiche (come il nome del servizio stesso) che è probabile che gli utenti scelgano”. Implementando questo tipo di controllo sulle password degli utenti, si porranno delle barriere formidabili contro i 3 tipi di attacchi di password descritti sopra.

SmartFactor Authentication di OneLogin può garantire che gli utenti non utilizzino password o credenziali facili da indovinare che sono state rubate da altri sistemi. SmartFactor Authentication include due opzioni che soddisfano queste raccomandazioni NIST:

Dynamic Password Blacklist
Consente agli amministratori di impedire agli utenti di utilizzare particolari password comuni o addirittura come parte di una password. Ad esempio, puoi bloccare l’utilizzo di “password” e “password123” o qualsiasi altra password con la parola “password” al suo interno, impedendo anche di utilizzare alcuni dei propri dati, come il nome o l’azienda per cui lavorano, all’interno della password.

Compromised Credential Check
Confronta le credenziali degli utenti (sia nome utente che password o anche solo la loro password) con elenchi di credenziali note violate. Ciò renderebbe gli elenchi (come il database COMB) inutili per i criminali informatici da utilizzare per violare il sistema.

Dobbiamo tutti essere più vigili come amministratori, sviluppatori e utenti nella protezione dei nostri dati e dei nostri sistemi. Sebbene i tipi di protezione che abbiamo descritto qui, come l’implementazione di un controllo delle credenziali compromesse, non siano richiesti in tutti i settori o in tutti i paesi, prevenire le violazioni degli utenti può farti risparmiare tempo e denaro a lungo termine. Seguire raccomandazioni e linee guida come quelle del NIST aiuterà a fare i primi passi.

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI

WebTitan Cloud vs Cisco Umbrella

WebTitan Cloud vs Cisco Umbrella

WebTitan Cloud vs Cisco Umbrella OpenDNS era un servizio di web filtering gratuito basato su DNS, anche se da allora è stato acquisito da Cisco ed è stato rinominato Cisco Umbrella. Cisco Umbrella è un filtro web popolare per le aziende, anche se molte aziende stanno...