Le Regole NIST per le Password: una Lenta Rivoluzione
Contrariamente a quanto si possa pensare, molte delle “novità” della revisione 4 non sono affatto nuove. Già con la pubblicazione della NIST SP 800-63-3 nel giugno 2017, l’istituto aveva sconfessato le vecchie pratiche, come l’obbligo di cambio password ogni 90 giorni e l’imposizione di regole di complessità artificiale. Queste pratiche, introdotte dallo stesso NIST nel 2003, si erano rivelate controproducenti, spingendo gli utenti a creare password prevedibili e facili da violare. L’aggiornamento del 2025, quindi, non è un’inversione di rotta, ma il consolidamento di un approccio più pragmatico e basato sull’evidenza.
1. Lunghezza > Complessità: il Mantra del NIST
Il NIST ribadisce che le password devono avere una lunghezza minima di 8 caratteri, ma raccomanda fortemente di impostare un minimo di 15 caratteri per una robustezza ottimale. Il sistema deve supportare password lunghe fino a 64 caratteri, accettando tutti i caratteri stampabili (inclusi Unicode e spazi), favorendo così la creazione di “passphrase” facili da ricordare per l’utente ma computazionalmente difficili da forzare. Viene ufficialmente abbandonata (già dal 2017) la richiesta di complessità forzata (es. “una maiuscola, un numero, un simbolo”).
2. Stop al Cambio Password Periodico (se non serve)
Il cambio password periodico e obbligatorio è una pratica obsoleta e dannosa. Il NIST chiarisce che la modifica è necessaria solo in caso di sospetta o accertata compromissione. Forzare il cambio porta gli utenti a fare piccole modifiche prevedibili (es. da Password2024! a Password2025!), riducendo di fatto la sicurezza complessiva.
3. Verifica Obbligatoria Contro Credenziali Compromesse
Un requisito fondamentale è la verifica di ogni nuova password rispetto a un database di credenziali note per essere state violate. Questo controllo incrociato impedisce l’uso di password estremamente comuni, deboli o già esposte in precedenti data breach, che sarebbero le prime a essere tentate in un attacco.
🛠️ Strumenti Operativi: Controlla le Tue Credenziali
Vuoi verificare se le tue password o il tuo indirizzo email sono stati coinvolti in una violazione di dati nota? Puoi utilizzare questi servizi affidabili:
- Have I Been Pwned?: il portale più autorevole per controllare email e password compromesse.
- Google Password Manager: integrato in Chrome/Android, segnala credenziali compromesse presenti nei breach.
- Firefox Monitor: il servizio Mozilla per monitorare se la tua email appare in violazioni note.
- 1Password: password manager professionale con controllo integrato delle credenziali violate.
- Kaspersky Password Manager: include verifiche proattive delle password compromesse.
- Dashlane: offre la funzionalità Dark Web Monitoring inclusa nei piani premium, con notifiche istantanee su compromissioni delle password e dell’email.
- NordPass: offre, tra le altre cose, funzionalità di Dark Web Monitoring, crittografia XChaCha20 e generazione di alias email per proteggere il tuo vero indirizzo email durante le iscrizioni.
- ProtonPass: è open source e offre una versione gratuita molto generosa, tra le altre cose con monitoraggio del dark web, monitoraggio IA per tentativi di login sospetti e supporto alle passkey.
4. Autenticazione a Più Fattori (MFA) e Passkey come Standard
Per i livelli di garanzia di autenticazione più elevati (AAL2 e AAL3), l’uso dell’Autenticazione a Più Fattori (MFA) è considerato essenziale. La vera novità della Rev. 4 è il riconoscimento formale delle passkey sincronizzabili (basate sullo standard FIDO) come un meccanismo di autenticazione primario, resistente al phishing e ideale per raggiungere il livello AAL2.
5. Abbandono Definitivo delle Domande di Sicurezza
Le domande di sicurezza sono deprecate come metodo di autenticazione o recupero. Le risposte sono spesso facili da indovinare o rintracciare tramite social media, rappresentando un anello debole nella sicurezza dell’account.
6. Requisiti Tecnici Essenziali per i Sistemi
- Permettere il “Copia e Incolla”: Per facilitare l’uso di password manager.
- Nessun Troncamento: Accettare fino a 64 caratteri reali.
- Protezione da Brute Force: Rate-limiting e backoff progressivo.
- Messaggi di Errore Generici: Non distinguere tra user/password errati.
- Hashing Sicuro: Usare Argon2, bcrypt, PBKDF2 con salting.
🔐 Implicazioni per la Conformità al GDPR (Art. 32)
L’Art. 32 del GDPR richiede “misure tecniche e organizzative adeguate” per la sicurezza dei dati. Le linee guida NIST SP 800-63B sono universalmente riconosciute come lo “stato dell’arte” e rappresentano un framework solido per dimostrare la conformità e l’accountability, specialmente per PA, sanità e finanza.
Conclusioni: Una Sicurezza Basata su Usabilità e Resilienza
Le linee guida NIST SP 800-63B Rev. 4 non sono una rivoluzione improvvisa, ma la conferma di un percorso iniziato anni fa. Abbandonando regole punitive e inefficaci, il NIST promuove un ecosistema di sicurezza più intelligente, robusto e incentrato sull’utente. L’adozione di passphrase lunghe, il controllo proattivo delle password compromesse e la spinta verso un futuro passwordless con MFA e passkey sono le direttrici fondamentali per proteggere le identità digitali oggi e domani.
📌 Checklist Operativa – Best Practices Password secondo NIST 2025
- ✅ Lunghezza minima: 8 caratteri – raccomandati almeno 15
- ✅ Nessun obbligo di complessità (simboli, maiuscole, numeri)
- ✅ Vietato il cambio periodico obbligatorio
- ✅ Obbligo di confronto con database di password compromesse
- ✅ MFA fortemente raccomandata (AAL2+), preferibilmente con passkey
- ✅ Stop domande di sicurezza
- ✅ Copia/incolla ammesso, nessun troncamento dell’input
- ✅ Implementare rate-limiting e messaggi di errore generici
- ✅ Hashing sicuro con salting (Argon2, bcrypt)
- ✅ Allineamento con GDPR art. 32 e accountability tecnica
Fonte Ufficiale: NIST SP 800-63B Rev. 4 – Pagina Ufficiale
