Password moderne e sicure grazie ai suggerimenti del NIST
Le policy di sicurezza obsolete peggiorano le password degli utenti?
Negli ultimi dieci anni, gli esperti di sicurezza hanno imparato che molti criteri comuni per le password non portano a password più complesse. Al contrario, in effetti. Rigide regole di complessità e politiche periodiche di modifica forzata delle password rendono le password più difficili da ricordare per le persone, incoraggiando scorciatoie rischiose come la scelta di password prevedibili o il riutilizzo di alcuni preferiti su centinaia di account … Suona familiare? Molti di noi sono colpevoli di queste abitudini.
Queste scorciatoie sono esattamente il modo in cui i criminali informatici si insinuano. Gli aggressori testano sistematicamente le credenziali rubate da altre violazioni dei dati. Le password riutilizzate aprono la porta e, con l’aiuto di strumenti automatici di controllo degli account, anche i criminali non sofisticati possono facilmente colpire centinaia di bersagli.
Ecco perché le più recenti linee guida sulle password create dal National Institute of Standards and Technology (NIST) tengono conto del comportamento umano, incorporando le lezioni apprese in politiche che incoraggiano password complesse e mitigano i rischi. Per le aziende, queste modifiche possono aiutare a ridurre i costi derivanti dall’acquisizione di account, furto di dati e frodi online, ma possono essere impegnative e richiedono molte risorse da implementare.
SpyCloud ha lavorato duramente per creare soluzioni che riducano tale carico. Molti clienti di SpyCloud beneficiano già delle funzionalità di rilevamento e risposta automatizzate fornite da Active Directory Guardian per applicare le linee guida NIST ai propri dipendenti. Oggi abbiamo ampliato la nostra offerta Consumer ATO Prevention per rendere più semplice l’applicazione delle linee guida per le password NIST agli account consumer con la nostra nuova API Password Exposure. Le aziende possono impedire ai consumatori di scegliere password deboli o esposte confrontandole con miliardi di password precedentemente compromesse nel database di SpyCloud, contribuendo a ridurre il furto di account e le frodi online.
L’allineamento dei criteri per le password della tua organizzazione con le ultime linee guida del NIST aiuterà i tuoi dipendenti e i consumatori a creare password più sicure e ridurrà il rischio di acquisizione dell’account. Di seguito abbiamo condensato i consigli del NIST, iniziando con alcune buone notizie.
Lascia che sia il Directory Service a svolgere la gran parte del lavoro pesante
Proprio così. È possibile applicare criteri di password di base per i dipendenti tramite la maggior parte dei servizi di directory o, nel caso di account consumer, all’interno della propria applicazione. Questi includono:
- Minimo 8 caratteri
- Consenti più di 64 caratteri
- Consenti (ma non richiedere) caratteri speciali
- Limita i tentativi di accesso non riusciti
Solo alcuni consigli, come determinare se le password sono state esposte in una violazione di terze parti, richiedono l’applicazione esterna. Maggiori informazioni su questo alla fine di questo post.
Leggi la guida passo per passo su come impostare Active Directory allineandola ai suggerimenti del NIST.
Policy di password Human-Friendly: cosa non fare
Poiché le ultime linee guida del NIST hanno la precedenza su credenze vecchie di decenni su ciò che rende una policy forte per le password, offrono linee guida piuttosto significative sui modi per scoraggiare le cattive abitudini storiche degli utenti.
Non richiedere password complesse
Il NIST inverte la vecchia guida sconsigliando di richiedere regole come l’utilizzo di una combinazione di lettere e simboli. In teoria, una combinazione di lettere, numeri e simboli può aumentare la difficoltà di decifrare una password. In pratica, tuttavia, questo requisito ha portato gli utenti a creare password più brevi facili da decifrare per i criminali.
Ad esempio, un utente può sfuggire alla maggior parte dei requisiti di complessità con una password come “P @ ssw0rd!” Gli strumenti di controllo dell’account criminale testano automaticamente questo “parlare liberamente”, ovvero la pratica di sostituire le lettere con numeri o caratteri speciali che assomigliano a lettere. Peggio ancora, gli utenti spesso riutilizzano le varianti della loro password “sicura” su più servizi, esponendo tutti quegli account a ulteriori rischi.
Non forzare modifiche arbitrarie della password
Ciò include le politiche comuni come la scadenza della password ogni 90 giorni. Questo requisito rende più difficile per gli utenti ricordare le password e incoraggia cattive abitudini come la scelta di password deboli, la rotazione attraverso una serie di password familiari o l ‘”aggiornamento” delle password esistenti con modifiche banali.
La rotazione delle password è un vantaggio per i criminali. I criminali sanno che alcuni utenti passeranno inevitabilmente in rassegna le password più vecchie, comprese quelle che sono state esposte in precedenti violazioni. Questo è uno dei motivi per cui i criminali testeranno pazientemente le credenziali rubate su altri account nel corso di mesi o addirittura anni.
Non utilizzare suggerimenti o promemoria per la password
Gli utenti spesso sottovalutano il rischio di fornire troppe informazioni in un campo di promemoria, il che rende più facile per un criminale indovinare la password e accedere all’account. Alcuni in realtà arrivano al punto di impostare la password come suggerimento.
Non utilizzare l’autenticazione basata sulla conoscenza
Le risposte alle richieste di autenticazione basata sulla conoscenza, come la richiesta del modello della prima auto di un utente, sono spesso disponibili tramite registri pubblici o social media. Inoltre, agli utenti potrebbe essere richiesto di rispondere alle stesse domande su più servizi, incoraggiando il riutilizzo delle credenziali. Se un criminale ha accesso ad altre informazioni sull’utente, questo tipo di autenticazione può essere facile da indovinare.
Aiuta i tuoi utenti ad aiutare se stessi
Ok, sai cosa non fare. Queste linee guida sull’usabilità approvate dal NIST incoraggiano gli utenti a creare password complesse, senza implementare direttamente requisiti aggiuntivi.
Offri la possibilità di visualizzare la password completa
Consenti agli utenti di selezionare un’opzione per visualizzare la loro password completa, che può aiutarli a verificare la presenza di errori nella loro immissione. Facoltativamente, il NIST suggerisce di mostrare un carattere alla volta mentre l’utente lo inserisce per aiutare gli utenti mobili a evitare errori.
Consenti agli utenti di incollare le password
La possibilità di incollare le password facilita l’uso dei gestori di password, che secondo il NIST possono aumentare la probabilità che gli utenti scelgano password più forti.
Fornire indicazioni per la creazione della password, ad esempio un misuratore di sicurezza della password
Fornire indicazioni sulla sicurezza della password agli utenti mentre creano una password. Questo spesso assume la forma di un misuratore di sicurezza della password. Sebbene questa non sia una funzionalità pronta all’uso con Active Directory, può essere ottenuta tramite strumenti di terze parti, inclusi molti gestori di password. Le organizzazioni possono anche fornire ai dipendenti materiali di riferimento sulla sicurezza della password.
Stabilire controlli di sicurezza essenziali
Genera PIN sicuri
Se si generano pin o password per conto dei propri utenti, il NIST richiede che siano lunghi almeno 6 caratteri e “generati utilizzando un generatore di bit casuale approvato” come descritto nella pubblicazione speciale NIST 800-90A.
Crittografa le password durante la trasmissione
Questo requisito NIST per “utilizzare la crittografia approvata e un canale protetto autenticato” durante la trasmissione delle password degli utenti riduce il rischio che una terza parte possa intercettare le password degli utenti. Se la tua comunicazione di rete non è sicura, chiunque si connetta può vedere il suo traffico e quando vengono inviate le informazioni di accesso, la password può essere visualizzata in chiaro. Per gli utenti esterni, assicurati che il tuo portale di accesso disponga di un certificato SSL valido per garantire che la comunicazione di rete sia crittografata.
Credenziali archiviate in salt e hash
Le linee guida del NIST per il salting e l’hashing delle credenziali archiviate includono:
- Scegli un algoritmo di hashing moderno (PBKDF2, bcrypt, ecc.) Resistente agli sforzi di decrittazione
- Scegli un salt abbastanza lungo per ogni hash
- Assicurati che anche il particolare algoritmo di hashing utilizzi un pepper
Vieta le password di uso comune
Non consentire agli utenti di scegliere password “comunemente usate, previste o compromesse”, come:
- Password ottenute da precedenti corpi di violazione
- Parole del dizionario
- Caratteri ripetitivi o sequenziali (ad es. “Aaaaaa”, “1234abcd”)
- Parole specifiche del contesto, come il nome del servizio, il nome utente e i suoi derivati
I criminali utilizzano attivamente questi tipi di password comuni e compromesse negli attacchi di acquisizione di account. Secondo il Verizon Breach Report del 2020, le credenziali rubate sono state la principale tecnica di hacking negli ultimi quattro anni.
Seguire le indicazioni del NIST bloccando la capacità degli utenti di scegliere questi tipi di password è uno dei modi più efficaci con cui le organizzazioni possono proteggere se stesse e i propri clienti. Tuttavia, questa funzionalità richiede l’accesso a una fonte di password completa e regolarmente aggiornata che dovrebbe essere bloccata, nonché la possibilità di controllare le password degli utenti su larga scala. È qui che un partner fidato può aiutare.
Non devi far tutto da solo
Mentre molti dei consigli del NIST possono essere soddisfatti facilmente utilizzando risorse interne e il minimo sforzo, c’è un’eccezione evidente: il controllo di password comuni o precedentemente compromesse.
Poiché la maggior parte dei team di sicurezza non ha le risorse per ricercare e rendere operativi i dati sulle violazioni da sola, affidarsi a un partner specializzato nella prevenzione delle acquisizioni di account può fare la differenza. Mentre consideri i fornitori, cerca queste capacità.
Controlla le password degli utenti con un elenco in evoluzione
Un elenco statico semplicemente non lo taglierà, data la frequenza con cui si verificano nuove violazioni. Per il contesto, i ricercatori di SpyCloud aggiungono circa un miliardo di nuove risorse di violazione al nostro database, ogni mese. Questo elenco in continua evoluzione aumenta continuamente la tua esposizione al rischio.
Accedi a nuove esposizioni il prima possibile dopo una violazione
Questo perché quando una violazione ha fatto notizia, il danno peggiore è già stato fatto. Il periodo più redditizio per i criminali è nei primi 18 mesi circa dopo una violazione; durante questo periodo limitano l’accesso alle informazioni rubate mentre lavorano per decifrare le password e monetizzare le credenziali rubate.
Raccogli i dati sulla violazione utilizzando HUMINT
I dati sulle violazioni raccolti tramite lo scraping e la scansione del dark web offrono una protezione limitata: nel momento in cui i dati sulla violazione giungono a queste fonti pubbliche, il danno peggiore è già stato fatto. Le tecniche di intelligenza umana sono l’unico modo per identificare le credenziali rubate all’inizio della sequenza temporale della violazione, mentre puoi comunque agire in tempo per proteggere i tuoi utenti.
In conclusione
Le linee guida per le password del NIST forniscono una roadmap per policy di password sicure e di facile utilizzo che combattono i modi più comuni in cui i criminali si intromettono negli account degli utenti.
SpyCloud consente la riparazione quando conta davvero, prima che i criminali abbiano accesso illegittimo ai sistemi e ai dati aziendali o sottraggano denaro e punti fedeltà ai tuoi consumatori.
Ulteriori informazioni su come Active Directory Guardian ti aiuta ad automatizzare la prevenzione del furto di account e ad allinearti alle linee guida del NIST.
Scopri di più su come Consumer ATO Prevention ti consente di prevenire le frodi per tutta la durata di un account consumatore, senza aggiungere attriti.