Progetta la tua politica sulle password
Ottieni informazioni su come creare politiche sulle password del prodotto che siano conformi, sicure e facili da usare, con Logto che assicura la sicurezza del tuo processo di autenticazione.
Product & Design
La tua password ti protegge davvero?
Nel tuo prodotto, è probabile che tu debba fare affidamento sul metodo di autenticazione classico – le password. Mentre le password non saranno sostituite completamente, sono più vulnerabili agli attacchi rispetto a metodi di autenticazione alternativi. Le tue politiche sulle password sono davvero sicure e conformi? Anche se hai familiarità con varie tecniche di politica sulle password, sovrapporle è davvero efficace?
Affrontiamo la complessità della progettazione e configurazione delle politiche sulle password conducendo ricerche approfondite sulle specifiche NIST, esaminando le principali politiche sulle password del prodotto e garantendo un'esperienza utente equilibrata. Sottolineando l'importanza della conformità delle password, miriamo a sollevarti dalle sfide associate alla strategia delle password e a fornire un processo completo per garantire la sicurezza degli account attraverso l'integrazione fluida delle password con altri fattori di verifica Multi-Factor Authentication (MFA).
Che tipo di password hanno bisogno gli utenti?
I progettisti di prodotti spesso si confrontano con la domanda se i loro prodotti siano abbastanza sicuri, portando all'implementazione di politiche sulle password rigorose e complesse. Ad esempio, richiedendo una combinazione di lettere maiuscole e minuscole, numeri e persino caratteri speciali, o imponendo cambi regolari delle password per i dipendenti.
Quando si trovano di fronte a tali requisiti di password, gli utenti sono rapidi nel esprimere le loro lamentele: "Perché deve essere così complicato? Ricordare le mie password sembra un lavoro a tempo pieno!" Questo lascia i product manager a grattarsi la testa, chiedendosi se una politica sulle password più complessa sia necessariamente migliore. Vediamo di analizzare i componenti di una politica sulle password completa per scoprirlo.
Nella sezione successiva, approfondiremo le sfumature delle politiche sulle password, trovando un equilibrio tra sicurezza e convenienza per l'utente. Esploreremo come definire i giusti requisiti per le password e forniremo approfondimenti basati sui dati per supportare il nostro approccio.
Un elenco di tutti i fattori delle password
Innanzitutto, dopo aver analizzato numerosi prodotti e specifiche NIST, abbiamo compilato un elenco completo dei fattori delle password e delle raccomandazioni di progettazione.
Li abbiamo approssimativamente classificati in tre gruppi:
- Requisiti di Impostazione della Password: Requisiti minimi per le password impostate dagli utenti.
- Monitoraggio della Sicurezza delle Password: Azioni rapide e feedback quando vengono rilevati rischi per le password.
- Esperienza Utente Password: Migliorare l'esperienza di input dell'utente durante la creazione e la convalida della password.
| Catalogo | Fattori | Analisi (Fare riferimento a https://pages.nist.gov/800-63-3/sp800-63b.html#sec5) |
|---|---|---|
| Requisiti di impostazione delle password | Lunghezza | Aumentare la lunghezza della password è più efficace per scoraggiare il cracking delle password rispetto alla complessità. NIST suggerisce almeno 8 caratteri di lunghezza, ma è necessario consentire password più lunghe. |
| Tipi di caratteri | Le password possono supportare diversi tipi di caratteri, incluse lettere maiuscole, lettere minuscole, numeri, simboli e Unicode (dovrebbero anche essere ammessi i caratteri di spazio). | |
| Le politiche sulle password NON DEVONO richiedere agli utenti di ricordare tipi specifici di informazioni, poiché è stato dimostrato che ciò aumenta la complessità senza migliorare efficacemente la sicurezza. https://www.notion.so/General-f14f0fb677af44cb840821776831a021?pvs=21 | ||
| Frasi a bassa sicurezza | È consigliabile richiedere agli utenti di modificare le loro password quando usano modelli facilmente indovinabili o violabili come caratteri ripetitivi o sequenziali, parole comuni, informazioni dell'utente o informazioni sul contesto del prodotto. | |
| Password violata | Le nuove password degli utenti devono essere controllate rispetto a un elenco di password trapelate per garantire che non siano compromesse. | |
| Monitoraggio della sicurezza delle password | Limitazione della velocità di verifica delle password | Limita il numero di tentativi consecutivi di password errate. Quando viene raggiunto questo limite, implementa misure di sicurezza come richiedere il Multi-Factor Authentication (MFA), inviare notifiche push, imporre tempi di attesa, o persino sospendere temporaneamente l'account. |
| Forzare il cambio password | Le password NON DEVONO essere richieste di essere cambiate arbitrariamente. Tuttavia, i verificatori DEVONO forzare un cambio di password se ci sono prove di un autenticatore compromesso. | |
| Cronologia password | Mantieni un record delle password precedenti che non possono essere riutilizzate. Non sono raccomandate restrizioni eccessive sul riutilizzo delle password, poiché gli utenti possono bypassare questa regola attraverso lievi modifiche. | |
| Cancella sessione dopo il cambio password | Consenti agli utenti di scegliere se effettuare l'accesso su altri dispositivi dopo aver cambiato la password. | |
| Esperienza di input password | Misuratori di forza delle password | Offri guida agli utenti per aiutarli a selezionare segreti memorizzati forti. |
| Suggerimento password | Evita di visualizzare suggerimenti per le password, poiché aumentano la probabilità di accesso non autorizzato. | |
| Copia e incolla password | Permetti l'uso della funzionalità "incolla", che facilita l'uso dei gestori di password. | |
| Visualizza password | Fornisci un'opzione per visualizzare la password come inserita, anziché visualizzare una serie di punti o asterischi, fino a quando non viene inviata. |
Uno strumento per configurare la tua esperienza con le password
Forse non hai la pazienza di passare attraverso ogni voce dell'elenco di controllo. Se dovessimo progettare uno strumento potente per le password che comprende tutte queste opzioni di configurazione, potrebbe diventare un grattacapo per gli sviluppatori, anche più complesso delle stesse politiche sulle password complesse. Pertanto, semplifichiamo ulteriormente i fattori delle password in tre passaggi.
Passaggio 1: Scarta le regole non necessarie
Come menzionato nella tabella, alcune regole sulle password obsolete possono sembrare migliorare la sicurezza ma offrono poco in cambio, causano spesso frustrazione e confusione tra gli utenti.
- Evita di limitare la combinazione di caratteri che gli utenti devono usare; limitare il numero di tipi di caratteri è sufficiente. Ad esempio, Facebook, Discord e Stripe non richiedono una combinazione specifica di tipi di caratteri e la politica sulle password di Google richiede semplicemente "Almeno due tipi di lettere, numeri, simboli."
- Non imporre cambi regolari di password periodicamente, poiché ciò pone un onere inutile sulla memoria degli utenti. Invece, richiedi un cambio di password solo quando c'è un rischio di compromissione delle credenziali.
- Scegli solo uno dei limiti delle password, tra requisiti minimi di password chiari e misuratori di forza delle password per prevenire fraintendimenti dell'utente.
- Evita di visualizzare regole eccessivamente complesse all'inizio, impedendo agli utenti di concentrarsi sulla lettura di errori che non accadono necessariamente.
- Evita di usare suggerimenti per le password per non dare un vantaggio ai potenziali attaccanti.
Passaggio 2: Fornisci personalizzazione per diversi prodotti
Offriamo opzioni di configurazione flessibili per le politiche minime sulle password, con valori raccomandati per ridurre la curva di apprendimento per gli sviluppatori e fornire un'esperienza di accesso pronta all'uso. Queste opzioni includono:
- Lunghezza minima: Valore predefinito di 8 caratteri, minimo 1.
- Tipi minimi richiesti di caratteri: Nessuna restrizione consigliata, cioè impostarlo a 1 su 4.
- Vocabolario di restrizione delle password: Suggerito di abilitare tutte le restrizioni. Gli utenti non possono evitare di attivare lo stesso vocabolario, ma è consentito aggiungere tre o più caratteri non consecutivi per aumentare la complessità della password. Questa aggiunta aumenta la disordine delle password.
- Proibire password compromesse: Utilizza un database affidabile di password violate per supporto, prevenendo l'uso da parte degli utenti di password identiche per evitare attacchi diretti alla directory.
Passaggio 3: Garantire la sicurezza con valori fissi
Per i parametri che non possono essere personalizzati, abbiamo implementato una logica di emergenza per garantire la sicurezza delle password. Se hai requisiti di personalizzazione specifici, non esitare a comunicarcelo.
- Limitazione della velocità di verifica delle password: Abbiamo limitato il numero di verifiche consecutive delle password errate e il tempo di attesa per sospendere l'accesso. Questo protegge dagli attacchi continui alle password. Inoltre, forniamo un webhook per verifiche consecutive di password fallite e puoi usarlo per inviare notifiche e-mail o sospendere account ad alto rischio di compromissione.
- Per impostazione predefinita, cancelliamo le sessioni su altri dispositivi dopo il reset della password e l'aggiornamento del token. Questo ulteriore livello di sicurezza aiuta a prevenire l'accesso non autorizzato al tuo account, assicurando che i tuoi dati rimangano confidenziali e protetti.
Conclusione
Con questi tre passaggi semplici, puoi semplificare il processo di configurazione della tua esperienza con le password, trovando il giusto equilibrio tra sicurezza e comodità per l'utente. Logto lo rende facile impostare un sistema di autenticazione sicuro e facile da usare per il tuo prodotto. Rimani aggiornato per la nostra prossima funzione MFA e prendi il controllo della sicurezza del tuo prodotto come mai prima d'ora.