|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
27-04-2016, 18.21.19 | #1 |
Forum supporter
Global Moderator
Registrato: 23-08-2007
Messaggi: 2.704
|
Cambiare la password regolarmente è una pessima idea: ecco perché
Cambiare la password regolarmente è una pessima idea: ecco perché Costringere gli utenti (di una società) a pensare troppo spesso a nuove password potrebbe diminuire la sicurezza, invece di aumentarla. L'agenzia per la sicurezza delle comunicazioni del Regno Unito - CESG, Communications-Electronics Security Group, gruppo di sicurezza per l'elettronica e le comunicazioni facente parte del quartier generale delle comunicazioni governative del Regno Unito - ha messo in guardia cittadini e organizzazioni dal cambiare frequentemente le loro password perché ciò potrebbe effettivamente rendere i sistemi meno sicuri. La maggior parte degli amministratori obbliga gli utenti a modificare la propria password a intervalli regolari, per esempio ogni 30, 60 o 90 giorni. Ciò non porta alcun reale beneficio, dato che le password rubate generalmente vengono sfruttate immediatamente. In un comunicato che spiega la filosofia che ispira la sua raccomandazione che le organizzazioni dovrebbero smettere di costringere gli utenti a cambiare frequentemente le password, il CESG riferisce che stiamo soffrendo tutti di stress da cambiamento di password: la maggior parte delle politiche sulle password ci costringe a usare password che troviamo troppo difficili da ricordare, troppo lunghe e troppo casuali. "Potremmo essere in grado di gestire ciò per una manciata di password, ma nella realtà non possiamo riuscirci a causa delle dozzine di password che usiamo al giorno d'oggi". Gli utenti costretti a cambiare password ne sceglieranno una leggermente diversa dall'originale, o una più debole. Ciò può essere sfruttato: gli aggressori indovineranno più facilmente la nuova password, se conoscevano quella vecchia. Le password modificate regolarmente hanno anche più probabilità di essere scritte da qualche parte (un'altra vulnerabilità) o dimenticate, il che significa perdita di produttività per gli utenti, in generale, e per il reparto che si occupa del ripristino delle password, in particolare. "E' uno di quegli scenari di sicurezza contro-intuitivi: più spesso gli utenti saranno costretti a modificare le password, maggiori saranno le vulnerabilità da attaccare. Quello che appariva come un avviso di lunga data perfettamente sensato, si scopre che in realtà non lo è e che non regge a una rigorosa analisi dell'intero sistema." L'utilizzo delle password compromesse si combatte meglio tramite il monitoraggio degli accessi e tramite la notifica di questi, comprensivi di data e ora, agli utenti interessati, in modo che gli utenti possano accorgersi degli accessi non effettuati da loro e comunicarlo all'ufficio competente. Il CESG non è il solo ente a chiedere la fine di questo comportamento. Lorrie Faith Cranor, direttore tecnico (CTO - chief technology officer) presso la commissione federale del commercio (degli Stati Uniti d'America), ha detto qualcosa di analogo: "La ricerca suggerisce che la scadenza obbligatoria delle password causa frequenti inconvenienti e infastidisce gli utenti senza in realtà produrre gli effetti benefici che ci si aspettava; inoltre ciò porta anche a un comportamento meno sicuro da parte di alcuni utenti."
___________________________________
Ultima modifica di xilo76 : 27-04-2016 alle ore 20.59.29 |
28-04-2016, 14.03.33 | #2 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Cambiare la password regolarmente è una pessima idea: ecco perché
Verissimo.
Quando si decide di cambiarla, di solito la si rende più semplice, perchè più ci troviamo di fronte ad una richiesta di modifica, più ci stressa dover adempiere alla necessità. Il segreto per una password sicura si trova nel sceglierla in modo che nulla al suo interno possa ricondurre a noi: Parte di una filastrocca, ad esempio, risulta essere piuttosto anonima. Utilizzare anche caratteri come ",!£$%&/()-+=<>@#" (se consentiti) ed in sequenza casuale, sono un ottimo incentivo ad aumentare i tentativi di indovinarla. Diffidare sempre di internet per testare la solidità della password scelta. Memorizzarla sempre a mente e mai su carta o sul proprio pc, nemmeno se consentito come opzione dal browser è nuovamente un'ottima abitudine. Sostituire numeri alle lettere ad esempio, come nel caso di p4sw0rd, non è così sicuro quanto %pass@word£. Cio non toglie che ogni tanto la si possa cambiare, ma sempre tenendo a mente quanto sopra, soprattutto quando si ha il sospetto o la certezza che non si è più gli unici a conoscerla.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
Ecco come creare una password sicura | Redazione | News dal WEB | 4 | 22-10-2010 10.05.10 |
[XP] impossibile modificare la password di win xp pro | taniservice | Windows 7/Vista/XP/ 2003 | 4 | 13-07-2005 10.19.07 |
PERICOLO PER DOCUMENTI OFFICE PROTETTI DA PASSWORD! | Sfigato | Sicurezza&Privacy | 1 | 05-10-2004 09.51.22 |
Password Alice Adsl | debe80 | Internet e Reti locali | 3 | 18-11-2003 20.44.32 |