Questa guida descrive le linee guida e i consigli sulle password per i progettisti e gli ingegneri che creano applicazioni online sicure. Una guida correlata, Sicurezza con password moderne per gli utenti, offre indicazioni per gli utenti finali. Questa guida illustra l'ampia gamma di opzioni da prendere in considerazione quando si crea un sistema di autenticazione basato su password. Inoltre, stabilisce un insieme di consigli incentrati sugli utenti per i criteri relativi alle password e allo stoccaggio, incluso il bilanciamento tra sicurezza e usabilità delle password.
Il mondo della tecnologia sta cercando di migliorare le password fin dai primi giorni dell'informatica. L'autenticazione con conoscenza condivisa è problematica perché le informazioni possono finire nelle mani sbagliate o essere dimenticate. Il problema è aggravato dai sistemi che non supportano casi d'uso sicuri reali e dalla frequente decisione degli utenti di prendere scorciatoie.
Secondo uno studio di Yubico/Ponemon del 2019, il 69% degli intervistati ammette di condividere le password con i colleghi per accedere agli account. Più della metà degli intervistati (51%) riutilizza in media cinque password per i propri account aziendali e personali. Inoltre, l'autenticazione a due fattori (2FA) non è molto utilizzata, anche se offre una protezione superiore a quella di un nome utente e una password. Tra i partecipanti al sondaggio, il 67% non utilizza alcuna forma di autenticazione a due fattori nella vita privata e il 55% non la utilizza sul lavoro.
I sistemi di password progettati per le applicazioni moderne potrebbero anche consentire o persino incoraggiare gli utenti a utilizzare password non sicure. I sistemi che consentono solo credenziali a un fattore e che implementano criteri di sicurezza inefficaci contribuiscono al problema. Regole arbitrarie e incoerenti consentono agli utenti di gestire le proprie password in modo non sicuro e i sistemi di recupero password possono lasciare l'utente e l'applicazione vulnerabili a categorie di minacce che potrebbero non aver considerato.
Panoramica
Questo documento illustra:
- Fonti attendibili di informazioni approfondite e basate su ricerche sulla sicurezza delle password
- Consigli per gli ingegneri che progettano sistemi di gestione delle password
- Anti-pattern comuni e leggende metropolitane sulla sicurezza delle password
- Argomenti per ulteriori ricerche
Per leggere il white paper completo, fai clic sul pulsante: