La complessità delle password non è così importante. Lo dice il NIST

Aumentare la complessità delle password, richiedendo l’inserimento di troppi caratteri speciali, non è davvero così utile e, anzi, potrebbe essere controproducente: lo dice il NIST. In un recente aggiornamento delle linee guida dedicate alle organizzazioni sulle modalità e i requisiti tecnici per l’autenticazione degli utenti, l’agenzia governativa ha introdotto alcuni chiarimenti importanti sulla complessità delle password, e non solo.

“Le regole di composizione sono utilizzate comunemente per cercare di complicare i tentativi di indovinare le password scelte dall’utente. Le ricerche però hanno dimostrato che gli utenti rispondo in modi altamente prevedibili ai requisiti imposti dalle regole di composizione“ chiarisce il NIST.

L’agenzia spiega che l’aggiunta di caratteri speciali è diventata ormai prevedibile: è molto probabile che un utente che ha scelto “Password” per autenticarsi aggiunga un “1” o un “!”, in base alla necessità di inserire un numero o un simbolo, alla fine della parola. Anche la scelta dei numeri e dei simboli speciali, in sostanza, è diventata una variabile predicibile.

Per ridurre la predicibilità delle password, afferma il NIST, sarebbe invece utile effettuare un confronto con delle blocklist ricavate da breach, ovvero delle liste contenenti password che, seppure efficaci secondo le regole imposte dalle organizzazioni, sono state individuate dagli attaccanti.

Imporre regole troppo stringenti, soprattutto con l’uso di simboli speciali, solleva un’altra questione importante: il rischio che l’utente, per ricordarsi una password complessa, la scriva da qualche parte in chiaro. Se è vero che è sempre valido il consiglio di usare un password manager, il problema si ripropone alla scelta della password della cassaforte, e in ogni caso la maggior parte degli utenti non utilizza ancora tool di questo tipo.

Dalle nuove linee guida emerge invece che la lunghezza rimane uno dei fattori fondamentali per garantire la robustezza delle password. “Le password troppo brevi cedono ad attacchi brute-force e a dizionario. La lunghezza minima dipende dalla minaccia che si vuole gestire“.

Se finora il concetto di “entropia” ha guidato la composizione delle password, adesso il NIST ha aggiornato la propria posizione. “L’efficacia delle password scelte dagli utenti è stata spesso caratterizzata utilizzando il concetto di entropia della teoria dell’informazione. Mentre l’entropia può essere facilmente calcolata per i dati con funzioni di distribuzione deterministiche, stimare l’entropia per le password scelte dagli utenti è difficile. Per questo motivo, viene qui presentato un approccio diverso e in qualche modo più diretto, basato principalmente sulla lunghezza della password. L’uso di passphrase (ovvero password composte da più parole) è spesso un modo efficace per creare una password più lunga“.

La posizione del NIST è chiara: introdurre regole stringenti che incrementano la difficoltà di scelta della password e di conseguenza la frustrazione degli utenti significa rischiare che le persone scelgano soluzioni pericolose. Meglio allora introdurre mitigazioni come blocklist, algoritmi di hashing sicuri per la memorizzazione, password randomiche generate e l’introduzione di un limite ai tentativi di autenticazione per bloccare attacchi di brute force.

Queste indicazioni del NIST non sono obbligatorie, ma rappresentano un’importante linea guida che le organizzazioni, in particolare le più piccole, dovrebbero seguire il più possibile. Fermo restando che l’uso dell’autenticazione a più fattori e l’eliminazione delle password siano le strade migliori da percorrere, è fondamentale rafforzare la gestione delle password più che renderle eccessivamente complesse.