L’ultimo aggiornamento alle raccomandazioni NIST sulle password(nuova finestra) è qui, e stanno cambiando il modo in cui ci approcciamo alle password con l’usabilità che ha la precedenza sulla complessità.
Dovrebbe importarti? Sì. Le linee guida NIST non riflettono solo le migliori pratiche a cui tutti dovrebbero aderire, ma influenzano anche la conformità della sicurezza. Rimanere indietro rispetto a queste linee guida potrebbe significare la non conformità con quadri normativi come HIPAA, GDPR e GLBA — rischiando audit falliti e costose sanzioni. Questa guida ti aiuterà a capire i cambiamenti chiave e come implementarli al meglio nella tua azienda.
Cosa sono le linee guida NIST sulle password?
Le linee guida NIST sulle password sono standard di sicurezza pubblicati dal National Institute of Standards and Technology(nuova finestra), un’agenzia federale statunitense. Queste linee guida formano la base delle Policy sulle password in tutti i settori e, in alcuni settori, come il governo, sono obbligatorie.
Le linee guida sono create sulla base di ricerche reali e non sono semplici supposizioni sulla sicurezza delle password. Questo è il motivo per cui i principali quadri di conformità sono spesso modellati dalle raccomandazioni NIST sulle password, e perché implementarle rafforza la tua postura di sicurezza e la conformità normativa.
Requisiti NIST sulle password del 2025
Ecco un rapido riepilogo dei requisiti NIST aggiornati sulle password:
1. Usa password più lunghe
Il NIST raccomanda una lunghezza minima della password di 8 caratteri e un massimo di 64 caratteri. Le password più lunghe sono più difficili da hackerare, in quanto tendono a essere più uniche rispetto alle password brevi ma complesse che spesso seguono uno schema prevedibile.
2. Abbandona i requisiti di complessità
Basandosi sulla linea guida sopra, i requisiti di caratteri speciali risultano in password complesse che, sfortunatamente, portano a schemi prevedibili che gli hacker possono facilmente indovinare. Invece, accetta tutti i tipi di caratteri, inclusi gli spazi, e incoraggia i dipendenti a inventare frasi uniche e memorabili, note anche come frasi d’accesso, per le loro password.
3. Niente più reimpostazioni forzate della password
L’unica volta in cui dovrebbe essere imposta una reimpostazione forzata della password è quando ci sono prove di una compromissione. Altrimenti, costringere i dipendenti a reimpostare le loro password ogni pochi mesi è considerata una cattiva pratica, poiché il NIST ha scoperto che in realtà rende la sicurezza delle password più debole.
4. Mantieni una blocklist di password
Il NIST raccomanda alle aziende di mantenere una blocklist di password per prevenire l’uso di password facilmente sfruttabili come “1234” o password che presentano variazioni del nome del dipendente o dell’azienda. Inoltre, raccomanda di utilizzare servizi di controllo delle password per garantire che i dipendenti non utilizzino password compromesse che sono state esposte in violazioni.
5. Elimina domande di sicurezza e suggerimenti
I suggerimenti e le domande di recupero basati sulla conoscenza, come “Qual è il tuo primo animale domestico?”, sono una pratica obsoleta. Queste risposte sono facilmente ottenibili tramite i social media. Invece, affidati a metodi di recupero sicuri come link di recupero e codici di verifica durante le reimpostazioni.
6. Usa strumenti di sicurezza moderni
Limitare il numero di tentativi di login falliti, richiedere l’uso dell’autenticazione a più fattori (MFA) e utilizzare strumenti come un gestore di password aziendale fornisce una protezione cruciale contro le moderne minacce informatiche e aiuta a rilevare la compromissione.
Come sono cambiati i requisiti NIST sulle password?
| Vecchie linee guida NIST sulle password | Nuove linee guida NIST sulle password | |
| Lunghezza della password | Limite a 8-16 caratteri | Password più lunghe fino a 64 caratteri |
| Complessità dei caratteri | Incoraggiata | Non richiesta |
| Cambi di password obbligatori | Richiesti mensilmente | Solo quando compromessa |
| Blocklist di password | Termini di base | Password violate, schemi e variazioni comuni |
| Metodi di recupero | Domande di sicurezza | Link e codici di verifica |
| Precauzioni aggiuntive | — | MFA e gestori di password |
Come implementare le raccomandazioni NIST sulle password
Implementare le raccomandazioni NIST sulle password aggiornate è fondamentale per mantenere la conformità con i quadri normativi. Anche se non sei vincolato da questi quadri, queste linee guida miglioreranno la tua postura di sicurezza e salvaguarderanno la tua azienda. Ecco come implementarle.
- Conduci un audit: Esamina le Policy esistenti rispetto alle nuove linee guida NIST per identificare i requisiti obsoleti da aggiornare.
- Aggiorna i tuoi sistemi: Riconfigura i sistemi di autenticazione secondo le nuove linee guida, come consentire password più lunghe e nessuna finestra di scadenza.
- Costruisci la tua blocklist: Implementa lo screening contro i database delle violazioni per costruire la tua blocklist. Inoltre, includi termini e variazioni specifici dei dipendenti o dell’azienda e schemi comuni nella tua blocklist.
- Rafforza i livelli di sicurezza: Implementa misure come limitare i tentativi di login e ritardare i nuovi tentativi, e usa MFA per fornire protezione aggiuntiva.
- Usa strumenti di gestione delle password: Dota i dipendenti di strumenti come un gestore di password per automatizzare la creazione e l’archiviazione delle password. Questi strumenti eliminano il riutilizzo delle password e garantiscono buone pratiche per le password.
- Comunica i cambiamenti: Spiega i cambiamenti ai tuoi dipendenti e, dove necessario, conduci formazione sull’uso degli strumenti di gestione delle password.
Usa Proton Pass per rimanere conforme alle linee guida NIST sulle password
Proton Pass è un gestore di password aziendale che semplifica la conformità con le linee guida NIST sulle password. Costruito con la privacy in mente e completamente protetto con crittografia end-to-end, puoi gestire facilmente tutte le tue esigenze di password con maggiore tranquillità.
Molte delle funzionalità di Proton Pass soddisfano le raccomandazioni NIST sulle password — puoi generare password lunghe e uniche, automatizzare i login e applicare Policy di sicurezza come 2FA. Proton Pass dà potere anche ai tuoi team con uno strumento che rende l’adesione a queste linee guida il percorso di minor resistenza. È anche completamente conforme a GDPR, HIPAA e altri standard di protezione dei dati, semplificando il tuo processo di conformità.
Domande frequenti
Dove posso leggere le linee guida NIST complete sulle password?
Puoi trovare le linee guida NIST complete sulle password(nuova finestra) sul sito web del NIST.
I requisiti NIST sulle password sono obbligatori per tutte le aziende?
I requisiti NIST sulle password sono obbligatori per le agenzie federali. Per altre aziende, le linee guida non sono obbligatorie, ma possono diventare necessarie attraverso quadri di conformità come HIPAA e altri. Auditor e appaltatori possono anche richiedere la conformità NIST.
Secondo le raccomandazioni NIST sulle password, quanto dovrebbe essere lunga una password?
Il NIST raccomanda che le password siano lunghe almeno otto caratteri, con un massimo di 64 caratteri. Incoraggia password o frasi d’accesso di lunghezza maggiore rispetto alla complessità, in quanto tendono a essere più uniche e più difficili da hackerare.
Come creo una password sicura?
La chiave per creare una password sicura è evitare schemi prevedibili, informazioni identificabili e password riutilizzate. Usa password lunghe e uniche che combinano parole casuali in frasi lunghe, come “lava-latte-naso-rumore”, o frasi e frasi che sono significative per te. Un gestore di password può anche generare automaticamente una password sicura per te.
Ancora incerto su come creare al meglio una password lunga e sicura e non vuoi registrarti per un gestore di password? Usa invece il nostro strumento generatore di password.
Come si inseriscono i gestori di password nelle linee guida NIST sulle password?
Un gestore di password come Proton Pass aiuta le aziende a rispettare le linee guida NIST sulle password generando password lunghe e uniche ed eliminando le password riutilizzate. Infatti, le linee guida NIST citano i gestori di password come uno strumento efficace per creare password sicure e ne raccomandano l’uso.
Proton Pass porta questa conformità oltre. Oltre a generare password lunghe e uniche per i tuoi dipendenti, automatizza anche i login e applica Policy di sicurezza come 2FA ed è crittografato end-to-end, il che significa che nessuno può ottenere accesso non autorizzato alle tue password.