Questa guida descrive le linee guida e i consigli sulle password per i progettisti e gli ingegneri che creano applicazioni online sicure. Una guida correlata, intitolata Sicurezza delle password moderne per gli utenti, offre indicazioni per gli utenti finali. Questa guida illustra l'ampia gamma di opzioni da considerare quando si crea un sistema di autenticazione basato su password. Stabilisce inoltre una serie di suggerimenti incentrati sull'utente per i criteri e l'archiviazione delle password, tra cui l'equilibrio tra sicurezza e usabilità della password.
Il mondo della tecnologia ha cercato di migliorare le password fin dagli albori dell'informatica. L'autenticazione basata sulle conoscenze condivise è problematica perché le informazioni possono cadere nelle mani sbagliate o essere dimenticate. Il problema è amplificato dai sistemi che non supportano casi d'uso reali e sicuri e dalla decisione frequente degli utenti di utilizzare scorciatoie.
Secondo uno studio Yubico/Ponemon del 2019, il 69% degli intervistati ammette di aver condiviso le password con i colleghi per accedere agli account. Più della metà degli intervistati (51%) riutilizza una media di cinque password nei propri account aziendali e personali. Inoltre, l'autenticazione a due fattori (2FA) non è ampiamente utilizzata, anche se aumenta la protezione rispetto a nome utente e password. Il 67% degli intervistati non usa nessuna forma di 2FA nella vita personale, mentre il 55% non la usa al lavoro.
I sistemi di password progettati per applicazioni moderne potrebbero anche consentire o persino incoraggiare gli utenti a utilizzare password non sicure. I sistemi che consentono solo credenziali a un fattore e che implementano criteri di sicurezza inefficaci contribuiscono al problema. Le regole arbitrarie e incoerenti consentono agli utenti di gestire le proprie password in modo non sicuro e i sistemi di recupero delle password possono rendere l'utente e l'applicazione vulnerabili a categorie di minacce che potrebbero non aver preso in considerazione.
Panoramica
Questo documento illustra:
- Fonti attendibili di informazioni approfondite e ricercate sulla sicurezza delle password
- Consigli per gli ingegneri che progettano sistemi di gestione delle password
- Anti-pattern comuni e leggende urbane sulla sicurezza delle password
- Argomenti per ricerche aggiuntive
Per leggere l'intero white paper, fai clic sul pulsante: