Sul SANS NewsBites del 26 aprile trovo la notizia che Microsoft riconosce l'inutilità di forzare il cambio delle password:
- https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/.
Questo in realtà si trova in un'idea per la prossima versione delle Security baselines di Windows: non avere più come default la richiesta di cambio periodico delle password.
Questa posizione è la stessa assunta dal NIST quasi due anni fa e di cui avevo già parlato all'epoca:
- http://blog.cesaregallotti.it/2017/08/del-nist-e-della-lunghezza-e.html.
Ricordo che "si ritiene preferibile lasciare liberi gli utenti di scegliere le proprie password, purché di almeno 8 caratteri e non presenti in una blacklist di password troppo facili". Purtroppo non sembra che i futuri sistemi Windows automatizzeranno queste blacklist. Anzi, il post di Microsoft dichiara che è compito degli utilizzatori realizzare le blacklist o meccanismi di autenticazione a più fattori (multi-factor authentication).
Di primo acchito, non mi pare un miglioramento (sappiamo quanto siano spesso superficiali molti amministratori di sistema; semplicemente non attueranno niente di più di quello previsto dalle baseline). Inoltre mi lascia sempre perplesso l'assenza di riflessioni sull'abitudine di molti utilizzatori aziendali di scambiarsi le password e delle possibili contromisure alternative al cambio periodico delle password. C'è però la riflessione sul fatto che oggi i sisitemi MFA, con la diffusione degli smartphone, siano sempre più economici e facili da usare.
Nessun commento:
Posta un commento