Scopriamo come SQL Server 2022 introduce funzionalità di sicurezza migliorate per verificatori password conformi a NIST SP 800-63b.
Introduzione alle Novità di Sicurezza in SQL Server 2022
Nell’era digitale, il rafforzamento della sicurezza delle password è una necessità in costante evoluzione. In particolare, SQL Server 2022 si aggiorna introducendo meccanismi di sicurezza avanzati per la gestione delle password, rispondendo così alle richieste di conformità alle linee guida del NIST (National Institute of Standards and Technology), in particolare all’NIST SP 800-63b.
Le Pratiche Attuali e la Nuova Direzione
Le versioni attuali di SQL Server e Azure SQL DB impiegano una combinazione di hash SHA-512 e salt unico e casuale a 32 bit, rendendo estremamente difficoltosa per gli attaccanti la deduzione delle password. Tale metodo si basa su una sicurezza statistica e si è mostrato efficace fino ad ora. Tuttavia, in un contesto di continua evoluzione delle minacce, è stato ritenuto necessario implementare further misure di protezione.
Conformità a NIST SP 800-63b: Incrementare le Difese
Osservando le direttive NIST SP 800-63b, è stato introdotto un meccanismo iterativo all’algoritmo di verifica delle password, aumentando sensibilmente la sicurezza. Questo approccio, che prevede l’utilizzo di un hash iterato, richiede un notevole numero di iterazioni (almeno 10,000 come da requisito NIST, mentre Microsoft ha scelto di adottarne 100,000), rallentando in modo significativo eventuali attacchi di forza bruta.
Il nuovo sistema rafforza l’autenticatore di password (password verifier), non tanto perché ci siano debolezze note nell’impostazione attuale, ma per soddisfare le esigenze di compliance, specialmente nel settore finanziario.
Implementazione e Impatto
Questa feature è disabilitata di default e disponibile a partire da SQL Server 2022 CU12. Il nuovo formato del verificatore di password ha implicazioni importanti sul formato dei dati salvati, ed è per questo che, una volta attivato, diventa impossibile tornare alla versione precedente senza un ripristino completo del database o il reset delle password.
Procedure di Attivazione
Per attivare questa funzionalità sono necessari alcuni passaggi precauzionali, tra cui l’utilizzo di un database non di produzione e il backup dello stesso. La procedura prevede l’uso di flags di traccia DBCC TRACEON, che permettono l’attivazione dell’algoritmo migliorato.
Agilità Criptografica: La Capacità di Evolvere
La versione dell’algoritmo viene codificata all’interno dell’hash della password, mostrando un esempio eccellente di agilità criptografica, ovvero la capacità di un’applicazione di adottare nuovi algoritmi crittografici nel tempo senza interrompere applicazioni esistenti. Questa prassi rientra tra le best practice della cyber security e assume ancor più importanza nell’ottica di un futuro posto sotto la minaccia della crittografia post-quantistica.
Risvolti per Utenti e Amministratori
Gli amministratori possono testare la nuova funzionalità, tenendo presente la rilevanza delle modifiche apportate. Non è consigliato attivare l’algoritmo senza un’adeguata copertura di test, data l’irreversibilità delle modifiche senza un ripristino completo del database o il cambio della password.
Questo aggiornamento non è solo un passo in avanti in termini di sicurezza ma anche un esempio di come l’ascolto delle esigenze della clientela e la risposta alle loro richieste di conformità possano portare all’evoluzione dei prodotti software.