Una buona password deve avere una resilienza di 1.000.000 di tentativi per difendersi adeguatamente da un attacco online. Ma questo è troppo difficile.
Le ultime linee guida NIST (National Institute for Standards and Technology) hanno fissato in 100 tentativi falliti il numero massimo che dovrebbe attivare un lock-out: “Salvo diversamente indicato nella descrizione di un determinato authenticator, il verifier DOVRÀ efficacemente limitare gli attacker online a 100 tentativi falliti consecutivi su un unico account in un periodo di 30 giorni.”
Ma siamo sicuri di utilizzarne una in grado di resistere a 100 tentativi?
SPOILER: assolutamente NO!
Secondo alcune Ricerche in Cina e Regno Unito, un hacker avendo disponibili alcune delle vostre Personally Identifiable Information (PII) ha una possibilità su cinque di scoprire la vostra password prima di superare il limite di 100 tentativi previsto dal NIST.
Se poi si rientra nei milioni di persone i cui dati sono stati rubati dagli ultimi attacchi ad Yahoo, LinkedIn ed altri, le nostre PII di pubblico dominio potrebbero facilmente condurre alle vostre credenziali.
Il modo corretto di gestire e di archiviare adeguatamente le password negli ultimi anni è stato delegato agli amministratori di sistema, togliendole così dalla gestione “personale e poco fantasiosa” dei singoli utenti.
Vuoi scegliere delle buone password?
Ti consigliamo di leggere: Guida Sophos alla scelta di password terribili.
Sei proprietario o gestore di un sito web? Attieniti alle ultime linee guida NIST!
Vi consigliamo anche di leggere:
Naked Security: Le regole NIST per le password
Naked Security – La guida per archiviare le password in sicurezza
Fonte: Blog Sophos.com
