Il NIST, acronimo di National Institute of Standards and Technology è un’agenzia governativa americana, con sede nel Maryland, a Gaithersburg, che gestisce le tecnologie impiegati entro i confini dello stato. Settore dipendente dal Dipartimento del Commercio, il suo compito è di favorire e promuovere l’economia americana, consentendo una collaborazione con le industrie. Da ciò ne consegue che mira allo sviluppo di tecnologie e metodologie in grado di incentivare la produzione e il commercio.
I compiti del NIST
Per quanto l’agenzia si occupi di una branca moderna, ovvero la tecnologia, essa nasce nel 1901. Da allora ne è passata di acqua sotto i ponti, ma lo sviluppo standard tecnologico è stato sempre garantito dalla massima cura e professionalità di chi lavora all’interno degli uffici. Non è certo un caso che tra i vari compiti del NIST vi è quello della pubblicazione dei Federal Information Processing Standard (FIPS), al fine di definire gli standard obbligatori del governo americano. I FIPS servono infatti a delineare con precisione il Data Encryption Standard e l’Advanced Encryption Standard.
Altro compito dell’agenzia è quello di diffondere le previsioni meteorologiche nell’America del Nord sfruttando le varie emittenti radio di sua proprietà. Tra le altre cose, il NIST deve anche gestire un laboratorio a Boulder, nel Colorado, dove team esperti di scienziati e ricercatori, tra cui fisici, si occupano di tante altre sfaccettature concernenti gli standard tecnologici di cui abbiamo fatto poc’anzi accenno
Il NIST viene oggi considerato il più grande fornitore internazionale di materiali di riferimento, senza contare che ormai si occupa anche di tessere di identificazione per i laboratori federali. Questo passo dovuto ha lo scopo preventivo di scongiurare attacchi terroristici, criminali, nonché accessi non autorizzati ai sistemi informatici o all’interno dei quartieri generali delle agenzie americane.
Le regole NIST
Proprio perché la situazione sta subendo dei cambiamenti repentini di anno in anno, il NIST ha deciso di cambiare le regole di gestione degli standard tecnologici nel 2017. Ha così indicato nuove linee guide su come vanno gestire le credenziali, abolendo l’obbligo di cambio password periodico e aggiornando i requisiti di complessità.
Questo avviene in quanto la debolezza informatica è dietro l’angolo un po’ per tutti, considerato che la maggior parte degli individui (purtroppo anche sull’ambiente di lavoro) impiega le stesse password per ogni credenziale che crea. Questo tende a mettere a repentaglio i dati, disponendoli alla mercé dei criminal hacker. Questo ultimo infatti non impiegano molto a sfruttare gli algoritmi di password cracking che tengono specificamente conto delle cattive abitudini degli utenti.
Nuove regole per le password
Non è stato affatto negativo questo cambiamento all’interno delle regole di sicurezza informatica. Se si spulciasse il documento pubblicato dal NIST si potrebbe tranquillamente capire come fosse necessario un mutamento delle abitudini, al fine di garantire un margine di sicurezza discreto, sulla base delle componenti tecnologiche oggi largamente impiegate.
Da ciò ne consegue più semplicemente che l’obbligo arbitrario nei riguardi delle persone a cambiare periodicamente le password (definite “memorized secrets”) è divenuto qualcosa di assolutamente obsoleto. Anzi più si impone all’utente di cambiare spesso credenziale, e più questo rischia di incorrere nell’utilizzo di password banali per evitare di dimenticare ogni volte. Il NIST ha capito che questo atteggiamento poteva fare più male che bene. Avere delle password scontate e banali mette a repentaglio i dati degli utenti, in quanto la nuova password viene dedotta sulla base di quella precedente. Meccanismo questo che favoriva gli hacker anziché fuorviarli.
Resta comunque per il NIST il consiglio di cambiare credenziali qualora sussista il sospetto che qualche dato sensibile sia stato rubato o compromesso. Anche perché i cyber criminali, tendono ad impiegare la maggiore parte delle volte le credenziali delle loro vittime non appena le compromettono.
