Oltre le Password: La Filosofia della Revisione 4
La revisione 4 di SP 800-63B segna un punto di rottura con tre decenni di guidance tradizionale. Le regole arbitrarie che hanno caratterizzato la sicurezza delle password – complessità forzata, rotazioni periodiche, domande di sicurezza – vengono smontate alla luce di dati empirici e minacce reali. La NIST ha ascoltato i ricercatori di security, gli incident responder e soprattutto gli attaccanti, concludendo che questo approach non funziona.
Tre pilastri supportano la nuova filosofia:
- Lunghezza oltre complessità: Una passphrase di 25 caratteri casuali batte ogni volta una password di 12 con simboli speciali.
- Verifica contro database compromessi: Prima di accettare una password, il sistema controlla se è già stata esposta nei data breach pubblici.
- Autenticazione multifattore obbligatoria: Le password da sole non bastano più; passkey e FIDO2 sono il futuro.
Lunghezza > Complessità: L’Entropia è Re
Il paradigma cambia radicalmente quando applichi la matematica dell’entropia. Una password di 8 caratteri con maiuscole, minuscole, numeri e simboli offre circa 96 combinazioni per ogni posizione. Una passphrase di 15 parole casuali (lista NIST da 1.000 vocaboli) offre 10^15 combinazioni teoriche.
Le linee guida stabiliscono:
- Minimo 8 caratteri per passwordless (generiche, mai umane).
- 15 caratteri consigliati per password umane (digitabili).
- 64 caratteri massimi accettati; oltre, il sistema accetta ma non richiede.
- Passphrase: 3-6 parole casuali in inglese o italiano producono entropia sufficiente.
Stop alle regole su maiuscole/minuscole/numeri/simboli se la lunghezza è adeguata. La complessità arbitraria crea password più deboli (prevedibili secondo schemi umani) e incoraggia il riuso.
“Change Only After Compromise”: Basta Rotazioni Periodiche
La pratica di forzare il cambio password ogni 30, 60 o 90 giorni è formalmente sconsigliata dalla NIST. Perché? Perché degradava l’esperienza utente spingendo verso pattern prevedibili (“Password123!” → “Password124!” → “Password125!”).
La nuova regola:
- Cambi password solo in caso di compromissione confermata.
- Mantieni la stessa password per mesi o anni, se forte e non composta.
- Implementa alert immediati in caso di accesso anomalo.
- Fornisci strumenti di “password breach notification” in tempo reale.
Questo riduce drasticamente il carico cognitivo e l’uso di password manager, aumentando paradossalmente la sicurezza reale.
Blocklist Screening: Il Nuovo Standard Mandatorio
Prima di accettare una nuova password durante il sign-up o il change, il sistema deve verificarla contro database pubblici di credenziali compromesse. La NIST cita esplicitamente fonti come Have I Been Pwned (HIBP) e repository simili.
Il meccanismo è semplice ma potente:
- Hash della password candidata (SHA-1 o superiore).
- Query al database esterno (anonimizzata: invii solo i primi 5 caratteri dell’hash).
- Se trovata, rifiuta la password con messaggio chiaro: “Questa password è stata esposta in [N] data breach pubblici. Scegline un’altra.”
Non è negoziale: è oggi il baseline di conformità alle migliori pratiche internazionali.
Strumenti Consigliati per Password Management e Screening
Nessuna affiliazione commerciale: la selezione è basata su criteri tecnici e di conformità.
- Have I Been Pwned (HIBP): Database pubblico di 13+ miliardi di credenziali compromesse. API disponibile per integrare screening nei sistemi. Fondamentale per gli sviluppatori.
- 1Password: Password manager enterprise con encryption zero-knowledge, audit trail centralizzato e integrazione SAML. Ideale per team.
- Bitwarden: Open-source, self-hostable, conformità GDPR certificata. Ottimo per chi ha esigenze di sovranità dati.
- NordPass: Manager basato su xChaCha20 con breach monitoring integrato. Semplice per utenti non tecnici.
- Proton Pass: Alternativa privacy-first di Proton Mail, con generatore di passphrase integrato e mascheramento email.
AAL2 e l’Era dei “Syncable Authenticators” (Passkey)
L’Assurance Level 2 (AAL2) della NIST richiede multifactorAuthentication obbligatoria per applicazioni mission-critical. Le password da sole rimangono AAL1.
I passkey (implementazione di FIDO2/WebAuthn) rappresentano l’evoluzione naturale. Non sono codici temporali o SMS, ma chiavi crittografiche asimmetriche che risiedono localmente:
- Su device: Smartphone, laptop, security key hardware.
- Syncable: ICloud Keychain, Google Password Manager sincronizzano i passkey tra device dello stesso utente.
- Phishing-proof: Il binding con il sito target è crittografico; un attaccante non può intercettare nulla.
- Biometric-friendly: Sblocco con volto o impronta digitale, poi autenticazione silenziosa al sito.
La adozione è esponenziale: Apple, Google, Microsoft supportano nativamente. Per i developer: implementare WebAuthn (librerie come webauthn.me) è ormai non-negoziabile per applicazioni sensibili.
Deprecazione delle Domande di Sicurezza
Le “security questions” (nome della madre, città natale, colore preferito) sono formalmente sconsagliate. Perché? Open-source intelligence (OSINT) le rende triviali da scoprire:
- LinkedIn rivela la carriera professionale (posizioni precedenti = “primo lavoro”).
- Facebook, Instagram, TikTok espongono dati personali massivamente.
- Genealogia online (MyHeritage, Ancestry) pubblica nomi di parenti.
- Una semplice ricerca Google + social engineering può estrarre tutte le risposte.
Se il servizio le supporta ancora, il risk assessment deve pesare questa debolezza esplicitamente. Per i nuovi sistemi: eliminarle del tutto, spostarsi su autenticazione fattore-based.
Checklist Tecnica per Sviluppatori
Articolo 32 GDPR: Misure Tecniche e Organizzative
La sicurezza delle password rientra direttamente nell’obbligo di cui all’art. 32 GDPR: implementare misure tecniche appropriate per proteggere i dati personali.
SP 800-63B, pur essendo una linea guida statunitense, è ampiamente riconosciuta dagli authority europei (inclusi EDPB e garanti nazionali) come standard internazionale di riferimento. Conformarsi alle sue raccomandazioni dimostra:
- Protezione adeguata dell’autenticazione (primo gate di accesso ai dati).
- Riduzione concreta del rischio di data breach.
- Alignment con best practice globali riconosciute.
Elemento critico di accountability (Art. 5(2) GDPR): In caso di data breach, dimostrare di aver implementato le raccomandazioni NIST costituisce un elemento concreto di accountability davanti al garante. I sistemi che non verificano contro blocklist pubbliche o forzano rotazioni periodiche risulteranno indefendibili in una notifica di breach.
Approfondimento Audio
Neural – Cybersecurity & Governance Podcast
Episodio dedicato a NIST SP 800-63B: passwordless authentication, raccordo GDPR, casi studio di implementazione. (Placeholder per episodio in produzione)
Fonti e riferimenti
NIST Special Publication 800-63B: Authentication and Lifecycle Management (Rev. 4, Pre-Release Draft 3, 2023)
NIST SP 800-63-3 (2017 Release)
Troy Hunt, “Have I Been Pwned” – Password Breach Database
ENISA, Fundamental Rights Impact Assessment of Biometric Technologies (2024)
EDPB Guidelines 05/2020 on consent under GDPR
Garante per la Protezione dei Dati Personali – Linee Guida su Accountability e Risk Assessment
