Da un tweet di @MarcoCiappelli, segnalo questo articolo dal titolo "Want safer passwords? Don't change them so often":
- http://www.wired.com/2016/03/want-safer-passwords-dont-change-often/.
In breve l'autore dice che, se si cambiano le password troppo spesso, queste risultano o banali o sempre le stesse (per esempio pippo01, pippo02, pippo03, eccetera). Si dovrebbe invece prevedere un cambio meno frequente, per esempio annuale, e chiedere di creare password più robuste e più lunghe.
Credo si debba riflettere su questo punto, non solo ricordando che la normativa italiana in materia di privacy richiede di cambiare la password ogni 3 o 6 mesi.
Se la password è lunga meno di 15 caratteri, un attaccante la individua dopo pochi minuti e quindi cambiarla dopo 3 mesi, 6 mesi o mai non cambia nulla. E oggi, forse, anche 15 caratteri non sono sufficienti.
Si potrebbe richiedere di usare dei generatori-archivi di password complesse (come ricordato dall'autore dell'articolo), ma poi nessuno vorrà bloccare il pc quando lo lascia incustodito per la pausa caffè.
In realtà, non dimentichiamocelo, uno dei motivi per chiedere di cambiare periodicamente la password è che troppi utenti, nonostante le regole fornite, la comunicano ad amici, colleghi e parenti. Cambiarla periodicamente, almeno, riduce il numero di persone che ne è in possesso. Purtroppo gli amministratori di sistema sono i primi a condividere tra loro le password e non cambiarle mai, nonostante negli anni le persone che le conoscono, a causa dei cambi di mansione o di dimissioni, sono sempre più numerose.
Nessun commento:
Posta un commento