En aquest enllaç trobaràs les NIST password recommendations, i estan canviant la manera com abordem el tema de les contrasenyes, posant per davant la usabilitat enfront de la complexitat.

T’hauria d’importar? Sí. Les directrius del NIST no només reflecteixen les millors pràctiques que tothom hauria de seguir, sinó que també influeixen en el compliment de la seguretat. Incomplir aquestes directrius podria significar l’incompliment dels marcs reguladors com ara el HIPAA,el RGPDi GLBA, amb el risc d’auditories sense èxit i sancions costoses. Aquesta guia t’ajudarà a entendre els canvis clau i la millor manera d’implementar-los a la teva empresa.

Quines són les directrius de contrasenya del NIST?

Les directrius de contrasenya del NIST són estàndards de seguretat publicats pel National Institute of Standards and Technology (Institut Nacional d’Estàndards i Tecnologia), una agència federal dels EUA. Aquestes directrius constitueixen la base de les polítiques de contrasenyes a tots els sectors i, en alguns d’aquests, com ara el govern, són obligatòries.

Les directrius es creen a partir d’investigacions del món real i no són només suposicions sobre la seguretat de les contrasenyes. És per això que els marcs principals de compliment normatiu sovint es basen en les recomanacions de contrasenyes del NIST i per això la seva implementació reforça la teva posició de seguretat i el compliment normatiu.

Requisits de contrasenya del NIST del 2025

Aquí teniu un resum ràpid dels requisits actualitzats de contrasenya del NIST:

1. Utilitza contrasenyes més llargues

El NIST recomana una longitud mínima de contrasenya de 8 caràcters i una màxima de 64 caràcters.Les contrasenyes més llargues són més difícils de piratejar, ja que solen ser més úniques que les contrasenyes curtes però complexes que sovint segueixen un patró predictible.

2. Eliminar els requisits de complexitat

A partir de la guia anterior, els requisits de caràcters especials donen lloc a contrasenyes complexes que, malauradament, condueixen a patrons predictibles que els pirates informàtics poden endevinar fàcilment. En comptes d’això, accepta tota mena de caràcters, inclosos els espais, i anima els empleats a crear frases úniques i memorables, també conegudes com a frases de contrasenya, per les seves contrasenyes.

3. S’han acabat els restabliments de contrasenya forçats

L’únic moment en què s’hauria d’aplicar un restabliment forçat de contrasenya és quan hi ha proves d’un compromís. En cas contrari, obligar els empleats a restablir les seves contrasenyes cada pocs mesos es considera una mala pràctica, ja que el NIST ha descobert que en realitat debilita la seguretat de les contrasenyes.

4. Mantenir una llista de bloqueig de contrasenyes

El NIST recomana que les empreses mantinguin una llista de bloqueig de contrasenyes per evitar l’ús de contrasenyes fàcilment explotables com ara «1234» o contrasenyes que continguin variacions del nom de l’empleat o de l’empresa. A més, recomana utilitzar serveis de comprovació de contrasenyes per garantir que els empleats no facin servir contrasenyes compromeses que hagin estat exposades en filtracions.

5. Elimina les preguntes i pistes de seguretat

Els consells i preguntes de recuperació basats en coneixement, com ara «Quina és la teva primera mascota?», són una pràctica obsoleta. Aquestes respostes s’obtenen fàcilment a través de les xarxes socials. En comptes d’això, confia en mètodes de recuperació segurs, com ara enllaços de recuperació i codis de verificació durant els restabliments.

6. Utilitza eines de seguretat modernes

Limitació del nombre d’intents d’inici de sessió fallits, que requereixen l’ús d’autenticació multifactor (MFA) i fer servir eines com ara un gestor de contrasenyes empresarials, que proporcionen una protecció crucial contra les amenaces cibernètiques modernes i ajuden a detectar compromisos.

Com implementar les recomanacions de contrasenya del NIST

Implementar les recomanacions de contrasenyes actualitzades del NIST és crucial per mantenir el compliment dels marcs normatius. Fins i tot si no estàs obligat per aquests marcs, aquestes directrius milloraran la teva posició de seguretat i protegiran el teu negoci. A continuació t’expliquem com implementar-les.

• Dur a terme una auditoria: revisa les polítiques existents en relació amb les noves directrius del NIST per identificar els requisits obsolets que cal actualitzar.
• Actualitza els teus sistemes: reconfigura els sistemes d’autenticació d’acord amb les noves directrius, com ara permetre contrasenyes més llargues i sense períodes de caducitat.
• Crea la teva llista de bloqueig: implementa la selecció de dades de filtracions de seguretat per crear la teva llista de bloqueig. A més, inclou termes i variacions específics dels empleats o de l’empresa, com també patrons comuns a la teva llista de bloqueig.
• Enforteix les capes de seguretat: implementa mesures com ara limitar els intents d’inici de sessió i endarrerir els reintents, i fes servir MFA per proporcionar una protecció addicional.
• Fes servir eines de gestió de contrasenyes: equipa els empleats amb eines com ara un gestor de contrasenyes per automatitzar la creació i l’emmagatzematge de contrasenyes. Aquestes eines eliminen la reutilització de contrasenyes i garanteixen bones pràctiques de contrasenyes.
• Comunica els canvis: explica els canvis als vostres empleats i, si cal, du a terme formació sobre l’ús d’eines de gestió de contrasenyes.

Fes servir Proton Pass per complir amb les directrius de contrasenya del NIST

Proton Pass és un gestor de contrasenyes empresarials que simplifica el compliment de les directrius de contrasenyes del NIST. Ha estat creat tenint en compte la privadesa i està totalment protegit amb xifratge de principi a fi, pots gestionar fàcilment totes les teves necessitats de contrasenyes amb més tranquil·litat.

Moltes de les funcions de Proton Pass compleixen les recomanacions de contrasenyes del NIST: pots generar contrasenyes llargues i úniques, automatitzar els inicis de sessió i aplicar polítiques de seguretat com ara 2FA. Proton Pass també capacita els teus equips amb una eina que fa que l’adhesió a aquestes directrius sigui el camí de menor resistència. També compleix plenament amb el RGPD, la HIPAA i altres estàndards de protecció de dades, cosa que simplifica el procés de compliment normatiu.