Guide

2024 Regole NIST sulla lunghezza minima delle password: Puntate a 16 caratteri o più!

Con l'avvento dei computer quantistici, le password devono essere più lunghe e complesse. Questi consigli vi aiutano a proteggere i vostri account online.

Chart on password security based on length and complexity according to 2024 recommendations by NIST and CISA

L'obiettivo di Tuta è quello di mantenere i dati dei nostri utenti al sicuro con una crittografia quantistica. Per ottenere la massima sicurezza, l'importanza di password forti, sicure e sufficientemente lunghe non può essere sopravvalutata. Le password e la loro lunghezza sono la prima linea di difesa per garantire che nessun accesso non autorizzato possa danneggiare i vostri dati o voi stessi. Anche se fattori come la complessità e l'imprevedibilità sono importanti, gli esperti sottolineano che la lunghezza è un elemento critico per garantire la sicurezza delle password. Ma alla luce delle nuove minacce dei computer quantistici, qual è la lunghezza minima ottimale delle password raccomandata dal NIST e dal CISA?

Cosa dicono gli esperti di sicurezza

Gli esperti di sicurezza informatica sostengono costantemente la necessità di password più lunghe come componente chiave di una sicurezza solida. “La lunghezza della password aumenta significativamente il tempo e le risorse computazionali necessarie per decifrarla”, afferma Bruce Schneier, noto crittografo ed esperto di sicurezza. “Una password più lunga aumenta esponenzialmente la difficoltà degli attacchi brute force, rendendola un aspetto cruciale della forza delle password”.

Il National Institute of Standards and Technology (NIST) degli Stati Uniti ha raccomandato in passato di scegliere una lunghezza minima di caratteri superiore a 14 per le password sicure, ma ha anche affermato che la lunghezza minima assoluta della password deve essere di 8 caratteri, mentre la lunghezza ottimale della password è compresa tra 14 e 16 caratteri. Il NIST sottolinea inoltre che le password più lunghe sono migliori e più resistenti alle moderne tecniche di cracking, compresi gli attacchi mirati avanzati, ad esempio da parte di attori statali o servizi segreti, che sono in grado di utilizzare hardware potenti o addirittura il calcolo quantistico. Con l’aumento della potenza di calcolo, anche le password devono aumentare di lunghezza per resistere agli attacchi.

Turn ON Privacy in one click.

La password deve essere di almeno 16 caratteri

Il seguente grafico sulla lunghezza e complessità delle password si basa sulle raccomandazioni del NIST e del CISA, pubblicate nel 2024 . Con l’avanzare dei computer quantistici, tutti devono rivedere la lunghezza delle password per verificare se sono ancora abbastanza forti da resistere agli attacchi dei computer quantistici, che hanno una potenza di calcolo molto superiore a quella dei sistemi informatici tradizionali.

Tabelle zur Passwortsicherheit basierend auf Länge und Komplexität gemäß den Empfehlungen von NIST und CISA für 2024 Tabelle zur Passwortsicherheit basierend auf Länge und Komplexität gemäß den Empfehlungen von NIST und CISA für 2024 Grafico sulla sicurezza delle password in base alla lunghezza e alla complessità secondo le raccomandazioni 2024 di NIST e CISA.

Mentre gli esperti di sicurezza suggeriscono almeno 12 caratteri come lunghezza minima della password, le password di 16-20 caratteri o più sono ideali per gli account altamente sensibili. L’Agenzia americana per la difesa informatica (CISA) raccomanda:

“Almeno 16 caratteri - più lunga è più forte!“.

Il National Institute of Standards and Technology (NIST) statunitense ha aggiornato le proprie raccomandazioni sulla lunghezza delle password nel 2024 e afferma che:

“La lunghezza delle password è un fattore primario per caratterizzare la forza delle password”.

Nel 2024, il NIST ha pubblicato una nuova linea guida per i servizi online in merito ai requisiti delle password per renderli più sicuri. Analogamente alla raccomandazione della CISA di 16 caratteri per la lunghezza minima ideale della password, il NIST afferma che una password sicura DOVREBBE:

“avere una lunghezza minima di 15 caratteri”.

Lunghezza della password e complessità

Data la nuova e maggiore lunghezza delle password, i precedenti consigli sull’uso di caratteri speciali e sul non utilizzare parole del dizionario non hanno lo stesso peso delle password più corte. In generale, secondo gli esperti di sicurezza, più lunghe sono, meglio è . Ma se volete puntare alla password perfetta, non c’è nulla di male a seguire anche queste raccomandazioni:

  • Lettere maiuscole e minuscole: KLJDFwerfn
  • Caratteri numerici: 923857
  • Caratteri speciali: =)§)]€&
  • Casualità: È importante evitare schemi prevedibili, solo parole del dizionario o informazioni personali.

  1. Password solo numeriche: Una password composta esclusivamente da caratteri numerici (0-9) offre solo dieci opzioni possibili per ogni carattere. Ad esempio, una password numerica di otto caratteri avrebbe 10 x 10 x 10 × 10 × 10 × 10 × 10 × 10 = 100.000.000 (100 milioni) di combinazioni possibili.

  2. Numeri e lettere minuscole: Se si aggiungono le lettere minuscole (a-z), si arriva a trentasei opzioni possibili per ogni carattere. Per una password di otto caratteri che utilizza sia numeri che lettere minuscole, il numero di combinazioni aumenta drasticamente a 36 x 36 x36 × 36 × 36 × 36 × 36 × 36 = 2,8211099e+12 (duemila miliardi, ottocentoventuno miliardi, centonove milioni, novecentomila) combinazioni possibili.

Per bilanciare sicurezza e usabilità, considerate l’uso di passphrase: una serie di parole casuali messe insieme (ad esempio, “Miglia solari50>Metri lunari51!”) facili da ricordare ma difficili da indovinare.

Quando scegliete una password sicura, considerate che sia la lunghezza che la complessità sono importanti; se avete difficoltà con la complessità, basta che la vostra password sia più lunga e otterrete un effetto simile in termini di forza della password.

Lunghezza della password vs tempo di cracking

La lunghezza di una password è uno dei fattori più critici nel determinare il tempo necessario a un hacker per decifrarla. Gli strumenti di cracking delle password si basano sulla forza bruta, un metodo che prova sistematicamente tutte le possibili combinazioni di una determinata password fino a trovare quella corretta. Questo attacco richiede tempo, che ovviamente dipende dalla lunghezza minima della password. In realtà, il tempo necessario a un attaccante di forza bruta per decifrare una password cresce in modo esponenziale con ogni carattere aggiuntivo. Ad esempio, una password di sei caratteri può richiedere minuti o ore per essere decifrata, a seconda della sua complessità e della potenza di calcolo disponibile. Tuttavia, aumentando la lunghezza a 12 caratteri, il processo di cracking può richiedere anni o addirittura secoli, soprattutto se combinato con diversi tipi di caratteri come numeri, lettere maiuscole e minuscole, caratteri speciali e simboli.

Questo aumento esponenziale del tempo sottolinea il motivo per cui le password più lunghe offrono una protezione più forte.

Le raccomandazioni del NIST per il 2024 sulla migliore lunghezza minima delle password e sulla loro struttura devono essere seguite anche dai servizi online che devono aggiornare i loro requisiti per le password e, soprattutto, devono consentire password più lunghe, dato che molti servizi limitano ancora il numero di caratteri che gli utenti possono inserire quando creano le password. Tuta Mail, ad esempio, richiede una password di almeno 10 caratteri, ma ne consente una lunghezza illimitata. Inoltre, al momento dell’iscrizione, Tuta offre un generatore di password che incorpora già le linee guida del NIST, generando lunghe passphrase con parole selezionate a caso, in modo che la password sia abbastanza lunga da ottenere una forza ottimale.

Qui spieghiamo in dettaglio come creare una password forte.

Perché le password più lunghe sono migliori

La lunghezza minima di una password è direttamente correlata al numero di combinazioni possibili che un malintenzionato deve tentare per indovinarla. Ad esempio:

  • Una password di 10 caratteri che utilizza un mix di maiuscole, minuscole, numeri e simboli offre circa 83 sestilioni di combinazioni.

  • Una password di 16 caratteri si espande a oltre 10 ottilioni di combinazioni, con un enorme salto di difficoltà.

Anche per i computer quantistici, che si prevede rappresenteranno una sfida significativa per la crittografia tradizionale, le password lunghe con strutture imprevedibili saranno comunque difficili da decifrare.

Turn ON Privacy in one click.

Spunti dal sondaggio tra gli utenti di Tuta Mail

Noi di Tuta Mail ci concentriamo sullo stato dell’arte della sicurezza e abbiamo già integrato la crittografia quantistica nei nostri servizi di posta elettronica e calendario. In Tuta la chiave privata dell’utente è protetta dalla sua password, quindi la scelta di una password lunga e forte è ancora più importante. Abbiamo quindi condotto un sondaggio tra 2.500 utenti per capire meglio quanto le persone conoscano la sicurezza delle password.

Länge der Passwörter der Tuta-Benutzer Länge der Passwörter der Tuta-Benutzer Lunghezza delle password degli utenti Tuta: Quanto è lunga la vostra password media? È lunga … caratteri.

Dato che gli utenti di Tuta non rappresentano l’utente medio di Internet, ma sono molto esperti di tecnologia e interessati alla sicurezza, i risultati sono scioccanti:

  • Il 16% utilizza generalmente password di massimo 10 caratteri.
  • Il 32% utilizza password di 11-15 caratteri.
  • Il 31% utilizza password da 16 a 20 caratteri per garantire un livello di sicurezza elevato.
  • Il 21% preferisce password più lunghe di 20 caratteri per ottenere la massima protezione.

È sorprendente - persino scioccante - vedere che, nonostante gli utenti di Tuta conoscano così bene la sicurezza, il 16% sceglie una password di soli 10 caratteri (che non è abbastanza sicura!) e il 32% si accontenta di una password tra gli 11 e i 15 caratteri - anche se password più lunghe sarebbero sicuramente migliori, soprattutto con l’ascesa dei computer quantistici.

Dobbiamo tenere presente che l’utente medio di Tuta sa molto di più sulla sicurezza online rispetto all’utente medio di Internet. Per esempio, dallo stesso sondaggio è emerso che il 90% degli utenti sa come crittografare un’e-mail Ende-zu-Ende con Tuta Mail e il 43% è esperto nell’uso della crittografia PGP, un numero che sicuramente non avremmo raggiunto se avessimo posto queste domande al grande pubblico.

Nonostante questo elevato livello di conoscenza digitale, il 34% degli utenti Tuta utilizza una password di 14 caratteri o meno, anche per gli account privati come la propria casella di posta elettronica crittografata.

Questo dimostra che abbiamo ancora molta strada da fare per educare le persone alle migliori pratiche di sicurezza online.

Lezioni dal sondaggio Tuta

I risultati del sondaggio rivelano una comprensione sofisticata della sicurezza tra gli utenti di Tuta, ma evidenziano anche margini di miglioramento. Mentre il 52% degli utenti punta a password più lunghe di 15 caratteri, il 16% considera ancora sufficienti password di 10 caratteri o meno, il che lascia gli account vulnerabili.

Poiché gli utenti del provider di posta elettronica quantum-safe Tuta Mail sono più informati rispetto all’utente medio di Internet, è scioccante che il 16% utilizzi password di soli 10 caratteri o anche meno. Ci si chiede quindi quanti account online siano vulnerabili agli attacchi a forza bruta. In breve, devono essere molti.

La lunghezza delle password è uno dei modi più efficaci e semplici per migliorare la sicurezza online. Con la crescente minaccia di attacchi informatici e l’incombente minaccia dell’informatica quantistica, l’uso di password lunghe e complesse è un must.

I risultati dell’indagine di Tuta evidenziano la necessità di educare meglio le persone sulla lunghezza minima ottimale delle password, di incoraggiarle a utilizzare i password manager e i generatori di password casuali. Inoltre, gli account importanti devono essere protetti con l’autenticazione a due fattori, meglio se con chiavi hardware U2F.

Lavoriamo insieme per un Internet più privato e una migliore protezione dei vostri dati!

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.