Friday, November 22, 2019
Home / Web  / Gestione delle Password per una autenticazione sicura

Gestione delle Password per una autenticazione sicura

Il National Institute for Standards and Technology (NIST), istituzione statunitense, ha recentemente dettato delle nuove linee guida per le password

Con un numero sempre maggiore di Siti e App che ci chiedono l’autenticazione e di scegliere password, siamo più o meno tutti riluttanti a scegliere password complesse. Inoltre la potenza di calcolo a disposizione per il cracking delle password è ogni giorno maggiore.

Il National Institute for Standards and Technology (NIST), istituzione statunitense, ha recentemente dettato delle nuove linee guida per le password che verranno applicate negli USA dalle amministrazioni pubbliche.

Queste linee guida possono aiutare anche noi, sviluppatori ed utenti finali, a stare al passo con i tempo in materia di autenticazione sicura. Di seguito alcuni punti chiave utili.

DOs – cosa fare

Tutte le password devono andare in contro a processi di hashing e salatura: in pratica la password non viene mai memorizzata dal sistema, ma ciò che viene registrato è soltanto il prodotto di una sua conversione tramite un algoritmo, da cui la password non può essere recuperata col processo inverso;

 

Implementare un sistema che preveda password di minimo 8 caratteri, senza porre un limite superiore di 16 o altri valori bassi; le password non saranno mai conservate così come sono, ma subiranno un processo di hashing che le porterà tutte ad una lunghezza fissa, pertanto in questo senso non ci sono problemi di memorizzazione di password molto lunghe;

 

Le password devono poter contenere qualsiasi tipo di carattere ASCII, o addirittura UNICODE, emoji comprese. L’utente deve poter scegliere di utilizzare una passphrase, piuttosto che una password, con l’uso di spazi e punteggiatura;

 

Prima di consentire l’utilizzo di una password, questa dovrebbe risultare non presente in un dizionario di password non sicure. Un esempio concreto? Moltissimi utenti scengono come password la parola “password”, e ciò gli dovrebbe venir impedito.

DON’Ts – cosa non fare

Le regole di composizione sono cotroproducenti: chiedere ad un utente di selezionare una password che “contenga almeno 1 maiuscola, 1 minuscola, 1 numero e 1 simbolo” lo scoraggia dall’utilizzo di una password lunga o complessa;

 

Vanno evitati i suggerimenti per ricordare le password: un utente potrebbe scrivere per se stesso un indizio troppo semplice per un malintenzionato da cogliere;

 

Evitare la two-factor authentication basata su SMS: ci sono molti problemi di sicurezza, e numerosissimi casi documentati di hacking, legati ai numeri telefonici.

POST TAGS:

francesco.leonardo@ilas.com

Designer/Developer eclettico "made in ILAS". Dopo essermi diplomato in Web Design, Graphic Design e Pubblicità Art&Copy magna cum laude, ho avviato collaborazioni con agenzie di comunicazione di rilievo nazionale, partecipando a progetti di Web Design e Development, Brand Identity Development, Grafica Editoriale e Advertising. "Ci sono molti modi di risolvere un problema, ma uno solo è quello giusto". Vivo la mia professione secondo questo dettame, che si riflette anche sull'approccio che ho alle mie altre passioni: la cucina, la birra craft, la lettura, i viaggi. Dal 2015 torno in ILAS in qualità di docente nel Corso di Web Design Pro Responsive.

Review overview