Visualizza messaggio singolo
Vecchio 27-04-2016, 18.21.19   #1
xilo76
Forum supporter
Global Moderator
 
Registrato: 23-08-2007
Messaggi: 2.703
xilo76 è conosciuto da tuttixilo76 è conosciuto da tuttixilo76 è conosciuto da tuttixilo76 è conosciuto da tutti
Cambiare la password regolarmente è una pessima idea: ecco perché

Quella che segue è una LIBERA traduzione dell'articolo Changing your password regularly is a terrible idea, and here's why (cliccami) redatto Lunedì 25 Aprile 2016 da Steve Ranger, redattore-capo (nel Regno Unito) su zdnet.com.


Cambiare la password regolarmente è una pessima idea: ecco perché
Costringere gli utenti (di una società) a pensare troppo spesso a nuove password potrebbe diminuire la sicurezza, invece di aumentarla.

L'agenzia per la sicurezza delle comunicazioni del Regno Unito - CESG, Communications-Electronics Security Group, gruppo di sicurezza per l'elettronica e le comunicazioni facente parte del quartier generale delle comunicazioni governative del Regno Unito - ha messo in guardia cittadini e organizzazioni dal cambiare frequentemente le loro password perché ciò potrebbe effettivamente rendere i sistemi meno sicuri.
La maggior parte degli amministratori obbliga gli utenti a modificare la propria password a intervalli regolari, per esempio ogni 30, 60 o 90 giorni. Ciò non porta alcun reale beneficio, dato che le password rubate generalmente vengono sfruttate immediatamente.
In un comunicato che spiega la filosofia che ispira la sua raccomandazione che le organizzazioni dovrebbero smettere di costringere gli utenti a cambiare frequentemente le password, il CESG riferisce che stiamo soffrendo tutti di stress da cambiamento di password: la maggior parte delle politiche sulle password ci costringe a usare password che troviamo troppo difficili da ricordare, troppo lunghe e troppo casuali.
"Potremmo essere in grado di gestire ciò per una manciata di password, ma nella realtà non possiamo riuscirci a causa delle dozzine di password che usiamo al giorno d'oggi".
Gli utenti costretti a cambiare password ne sceglieranno una leggermente diversa dall'originale, o una più debole. Ciò può essere sfruttato: gli aggressori indovineranno più facilmente la nuova password, se conoscevano quella vecchia.
Le password modificate regolarmente hanno anche più probabilità di essere scritte da qualche parte (un'altra vulnerabilità) o dimenticate, il che significa perdita di produttività per gli utenti, in generale, e per il reparto che si occupa del ripristino delle password, in particolare.
"E' uno di quegli scenari di sicurezza contro-intuitivi: più spesso gli utenti saranno costretti a modificare le password, maggiori saranno le vulnerabilità da attaccare. Quello che appariva come un avviso di lunga data perfettamente sensato, si scopre che in realtà non lo è e che non regge a una rigorosa analisi dell'intero sistema."
L'utilizzo delle password compromesse si combatte meglio tramite il monitoraggio degli accessi e tramite la notifica di questi, comprensivi di data e ora, agli utenti interessati, in modo che gli utenti possano accorgersi degli accessi non effettuati da loro e comunicarlo all'ufficio competente.
Il CESG non è il solo ente a chiedere la fine di questo comportamento. Lorrie Faith Cranor, direttore tecnico (CTO - chief technology officer) presso la commissione federale del commercio (degli Stati Uniti d'America), ha detto qualcosa di analogo: "La ricerca suggerisce che la scadenza obbligatoria delle password causa frequenti inconvenienti e infastidisce gli utenti senza in realtà produrre gli effetti benefici che ci si aspettava; inoltre ciò porta anche a un comportamento meno sicuro da parte di alcuni utenti."
___________________________________


Ultima modifica di xilo76 : 27-04-2016 alle ore 20.59.29
xilo76 non è collegato   Rispondi citando