Politica sulla password: lunghezza e complessità

Politica della Password: Lunghezza vs Complessità -- Cosa Consiglia Effettivamente NIST

NIST SP 800-63B (aggiornato 2024) ha capovolto decenni di consigli sulla password: smettete di imporre regole di complessità, iniziate a richiedere lunghezza. Ecco perché, con la matematica per provare.

La Matematica dell'Entropia

L'entropia misura quanto difficile è una password da forzare con un attacco di brute-force. La formula è log2(charset_size ^ length).

Una password di 16 caratteri in minuscolo è 8 milioni di volte più difficile da rompere rispetto a una password "complessa" di 8 caratteri. La lunghezza vince.

Cosa dice NIST SP 800-63B

Perché le Regole di Complessità Falliscono

Quando obbligate P@ssw0rd! pattern, gli utenti fanno esattamente quello -- sostituzioni prevedibili che gli strumenti di cracking sfruttano per primi. Gli attacchi di dizionario con regole di leet-speak rompono Tr0ub4dor&3 in secondi. Nel frattempo, correct horse battery staple (4 parole casuali, ~44 bit da una lista di 2048 parole, o scegli 5-6 parole per 55-66 bit) è sia più forte che più memorabile.

Implementazione Pratica

# Pseudocodice per la validazione allineata a NIST
def validate_password(password: str, blocklist: set) -> bool:
    if len(password) < 12:
        return False  # imponi la lunghezza minima
    if password.lower() in blocklist:
        return False  # rifiuta le password note violata
    return True  # non sono necessarie regole di complessità

Usa un gestore di password per generare password casuali di 16-20 caratteri per ogni account. Prova il Generatore di Password per creare password ad alta entropia istantaneamente -- imposta la lunghezza a 16+ e saltare la testa di complessità.

Chiave di Prendere

Aggiorna la politica della password della tua organizzazione: minimo 12 caratteri, controllo della lista di password violata, nessuna rotazione forzata, nessuna regola di complessità. Otterrai una maggiore sicurezza e meno richieste di assistenza tecnica.

Relazioni