Vai al contenuto

Le password che scadono

...ed ecco che Windows ci avvisa che la password sta per scadere !
Occorre trovare in fretta una nuova password per sostituire quella che scade.
Ma non una password qualsiasi: una password "robusta", ovvero:

  • lunga almeno 8 caratteri;
  • diversa dallo User-ID;
  • differente dalle password precedenti;
  • che contiene lettere maiuscole e minuscole;
  • che contiene numeri e caratteri speciali.

Ma perchè le password "scadono" ?
E' realmente vero che cambiare le password con una certa frequenza è una misura di sicurezza ?
Secondo la mia esperienza NO, e vi spiego perchè...

Perchè il nostro cervello, applicando istintivamente il principio del minimo sforzo,
ci porterà a scegliere password di questo tipo:
«Fuffi-0818»   [Nome-del-gatto]-[mese][anno]
---   
in modo che, alla prossima richiesta di cambio password, basterà cambiare la cifra del mese e/o dell'anno e siamo a posto.
Inoltre basterà ricordarsi solo la prima parte della password (il nome del gatto) in quanto la seconda parte può essere rapidamente dedotta o - al peggio - se non ci ricordiamo in che mese abbiamo modificato la password, basta fare qualche tentativo per trovare il resto...
Bene ! Abbiamo creato una password facile da ricordare, che soddisfa tutti i requisiti di complessità richiesti e che inoltre è anche facile da modificare quando sarà nuovamente richiesto.
...ma questa possiamo definirla una password "robusta" ? NO !

Le password che scadono sono password "deboli"

Ma "deboli" o "robuste" rispetto a che ? Cosa minaccia la sicurezza delle password ?
Sappiamo che la principale tecnica di attacco automatica alle password è il cosiddetto "attacco di forza bruta", dove uno o più computer tentano tutte le possibili combinazioni di caratteri di cui può essere composta la nostra password.

Più una password è "complessa" più è "robusta".

...e come si può fare per creare password "complesse", ma che siano al contempo anche "facili da ricordare" ?
Gli esperti ci hanno insegnato alcuni trucchi, come ad esempio:
- sostituire alcune lettere con dei numeri (O=∅, L=1, E=3, A=4, S=$, T=7)
- usare qualche lettera maiuscola al posto della minuscola
- inserire qualche segno di interpunzione
Ma servono veramente ?
In parte sì, ma di certo non rendono la password facile da ricordare.
Si rischia così di creare password che le persone fanno fatica a ricordare ma che un computer (che non fa distinzione tra i simboli utilizzati) troverebbe comunque piuttosto semplici da indovinare:

Meglio invece adottare un metodo più semplice: scegliere alcune parole comuni e concatenarle assieme:

Anche gli esperti che a suo tempo ci hanno insegnato come creare password "robuste" sono ormai convinti che questo sia l'approccio giusto:

Una password complessa può essere facile da ricordare.
Può essere composta anche da frasi di senso comune (spazi inclusi) che sono facili da ricordare, ma deve avere un "livello di entropia" sufficientemente elevato in modo da impedire ad un computer di indovinarle per tentativi (per misurare il livello di entropia delle password è possibile usare questo programma in javascript).

Una password complessa deve essere cambiata periodicamente ?
No. La password scelta dovrebbe essere cambiata solo quando si ha il sospetto che possa essere stata rubata o violata.
Perchè cambiare la serratura di casa se non abbiamo perso le chiavi e non ci sono stati tentativi di scasso ?
Inoltre sappiamo bene che la richiesta di cambiare una password che funziona mette in moto il principio del minimo sforzo, con le conseguenze del caso...

Però...
la Legge sulla Privacy, promulgata nel 2003, prevede delle misure di sicurezza minime (obbligatorie) per le password utilizzate per accedere a dati personali:

Non ci resta che sperare nel GDPR...
Il nuovo Regolamento Europeo sulla Privacy (operativamente in vigore dal 25 Maggio 2018) non contiene alcuna prescrizione specifica circa la necessità di modificare periodicamente le password di accesso, ma lascia al Titolare il compito di individuare le misure di sicurezza adeguate a far fronte ai rischi connessi alla loro possibile violazione:

Personalmente ritengo che obbligare gli utenti a modificare periodicamente le loro password sia una scelta sbagliata e che invece sia meglio puntare su una password "complessa" da modificare solo nel caso in cui si sospetti che sia stata violata.
Solo così si può evitare l'innesco del principio del minimo sforzo e la conseguente proliferazione di password "deboli".

Buona password a tutti !
Cordialmente vostro,
Autostoppista Cyber Galattico.

2 pensieri su “Le password che scadono

  1. Giuliano IZ4WNP

    Alla grande Franco. Mi fa piacere che Tu abbia intrapreso questo "viaggio intergalattico" !
    Buona continuazione e "che la forza sia con te" !

    Un Cibernauta..... IZ4WNP

    Rispondi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.