Oltre le Password: La Filosofia della Revisione 4

Con la pubblicazione finale della NIST SP 800-63B Revisione 4, l’istituto statunitense non si limita ad aggiornare le regole, ma consolida un cambio di paradigma iniziato nel 2017. Le vecchie pratiche di “security theater” (come l’obbligo di cambiare password ogni 90 giorni o l’uso forzato di caratteri speciali) sono ora ufficialmente classificate come rischi per la sicurezza, poiché inducono comportamenti prevedibili negli utenti. La sicurezza moderna si basa su tre pilastri: entropia (lunghezza), monitoraggio attivo (blocklist) e crittografia forte.

1. Lunghezza > Complessità: L’Entropia è Re

Il NIST stabilisce che la sicurezza risiede nella lunghezza della stringa, non nella sua varietà sintattica.
La regola d’oro: La lunghezza minima assoluta è 8 caratteri, ma la raccomandazione operativa per una robustezza ottimale è di almeno 15 caratteri.
I sistemi devono supportare password lunghe almeno fino a 64 caratteri, accettando spazi e caratteri Unicode. Questo favorisce l’uso di Passphrase (frasi lunghe, facili da ricordare per l’umano, impossibili da forzare per la macchina), eliminando l’obsoleto obbligo di “una maiuscola, un numero, un simbolo”.

2. “Change Only After Compromise”: Basta Rotazioni Periodiche

La rotazione periodica forzata (es. scadenza a 90 giorni) è deprecata. Studi approfonditi dimostrano che gli utenti, costretti a cambiare password frequentemente, applicano modifiche sequenziali prevedibili (es. Marzo2025! diventa Aprile2025!).
La modifica della password deve avvenire esclusivamente in modalità “event-driven”: solo quando vi è evidenza di una compromissione (es. alert di phishing o data breach).

3. Blocklist Screening: Il Nuovo Standard Mandatorio

Questa è la novità tecnica più rilevante. Non è più sufficiente verificare la complessità sintattica; i sistemi devono (SHALL) confrontare ogni nuova password (e quelle esistenti) con un database di hash di credenziali note come compromesse.
Questo controllo impedisce l’uso di password che, pur essendo complesse, sono già presenti nei dizionari degli attaccanti (es. raccolte da vecchi leak di LinkedIn o Adobe).

4. AAL2 e l’Era dei “Syncable Authenticators” (Passkey)

Per raggiungere il Livello di Garanzia di Autenticazione 2 (AAL2), l’MFA è essenziale. La Rev. 4 introduce ufficialmente il concetto di Syncable Authenticators (Autenticatori Sincronizzabili), legittimando l’uso delle Passkey (standard FIDO2/WebAuthn).
A differenza dei token hardware fisici, le passkey si sincronizzano tra i dispositivi dell’utente (tramite cloud Apple, Google, Microsoft), offrendo una resistenza al phishing superiore agli SMS e una user experience senza attriti.

5. Deprecazione delle Domande di Sicurezza

“Qual è il cognome di tua madre da nubile?” Queste domande non sono più ammesse come metodo di recupero account. Le risposte sono facilmente reperibili tramite OSINT (social media engineering), rappresentando una vulnerabilità critica piuttosto che una difesa.

6. Checklist Tecnica per Sviluppatori (Requirement)

• Supporto Copia/Incolla: Obbligatorio per favorire l’uso dei Password Manager.
• Nessun Troncamento: Il sistema deve processare l’intera stringa inserita (almeno fino a 64 char).
• Feedback Generico: In caso di errore login, restituire “Username o Password non validi” per evitare l’enumerazione degli utenti.
• Hashing: Abbandonare MD5/SHA1. Utilizzare algoritmi resistenti come Argon2id, bcrypt o PBKDF2 con salt univoco.