lunedì 5 febbraio 2024

Sul cambio delle password

Qualche tempo fa, nel 2019, avevo segnalato che NIST e Microsoft non ritenevano più necessario il cambio periodico delle password perché siano sicure: https://blog.cesaregallotti.it/2019/04/microsoft-e-il-cambio-delle-password.html.

Avevo espresso qualche perplessità sul fatto che la giustificazione non considerava che, in ambiente lavorativo, alcuni si scambiano le password e il cambio periodico permette di tornare a una situazione più sicura. In generale, però, la mia esperienza mi ha fatto cogliere favorevolmente questo approccio.

Ne ho discusso con Stefano Ramacciotti che invece sostiene l'opportunità di cambiare periodicamente le password. Almeno una volta all'anno.

Stefano dice che il NIST non cita le ricerche su cui ha fondato questo approccio. Anzi, mi segnala questo articolo che segnala questa carenza e approfondisce perché è opportuno cambiare le password almeno una volta all'anno (quelle per uso personale) o più spesso (in ambito lavorativo): https://www.linkedin.com/pulse/why-passwords-must-periodically-changed-roger-grimes/.

Stefano mi dice che "il considerando 49 della recente NIS 2, che dovrà essere recepita entro il 18.10.2024, riporta il cambio delle password come misura di cyber hygiene", o anche che la PCI DSS V 4.0 del 2022 prevede il cambio ogni 90 gg".

Conviene poi sul fatto che oggi, con le tecniche di salting, i tempi per compromettere le password sono abbastanza lunghi, ma non abbastanza da non richiedere un cambio periodico delle password ("un attaccante che avesse fatto il dump del SAM delle password di Windows o di /etc/shadow su Linux avrebbe prima o poi acquisito la password").

Sui tempi di compromissione delle password, poi, mi segnala un altro articolo, che contesta le tabelle che spesso si vedono in giro (quelle che dicono che password di meno di 8 caratteri si possono compromettere in pochi minuti, quelle di 8-10 caratteri in ore, eccetera): https://billatnapier.medium.com/those-tables-password-cracking-times-that-scare-you-are-mostly-wrong-7d03bf4aec6.

In questo secondo articolo, l'autore sembra contraddire la posizione di Stefano e non promuove il cambio della password. Però lo stesso Stefano precisa che "l'articolo prende solo in esame attacchi a forza bruta e nulla dice in merito ad altri tipi di attacchi; inoltre questi metodi sono in uso sui sistemi operativi di nuova generazione ma sono ancora utilizzati vecchi sistemi operativi e non tutti i servizi web usano librerie di gestione password aggiornate (sono tantissimi i siti che non memorizzano in modo appropriato le password e, per gli attaccanti, è facile prendere elenchi di password anche in chiaro o con una protezione ROT-13 equivalente)".

Stefano contesta anche la giustificazione fornita dal NIST (ossia che gli utenti, se richiesti di cambiare frequentemente le password, le scelgono deboli) perché questo non dovrebbe impedire di promuovere buone pratiche come il cambio periodico.

La cosa mi ha fatto riflettere e ci rifletterò.

Chiudo dando l'ultima parola a Stefano, che ringrazio per il confronto sempre costruttivo: "Dato che il prossimo 2 maggio cade il Password Day (sempre il primo giovedì di maggio di ogni anno dal 2013), perché non usarlo per cambiare tutte le nostre password almeno una volta all'anno (anche se a naso direi meglio due volte)?".

Nessun commento:

Posta un commento