Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Pensieri sulle modifiche programmate delle password (non chiamatele rotazioni!)
Utilizziamo ancora tutti le password su molti, forse sulla maggior parte, dei nostri account, perché utilizziamo ancora molti servizi online che non offrono nessun altro tipo di sistema di accesso.
Proprio oggi, ad esempio, ho pagato la quota associativa a un gruppo legato al ciclismo che ha chiesto il mio indirizzo postale per potermi inviare la mia tessera associativa, che pensavo fosse un modo deliziosamente semplice e vecchio stile per permettermi di recuperare il mio numero di iscrizione. in futuro mentre sei in viaggio.
Con quel clima freddo e umido che si riscontra per gran parte dell'anno in Inghilterra, tirare fuori un telefono cellulare, aspettare un segnale, togliersi i guanti (non è molto divertente rimettersi quando si è in inverno... impregnato d'acqua) e armeggiare con app, siti Web, password, codici 2FA e altro ancora...
…beh, non è così facile come trovare una tessera di plastica impermeabile, a prova di incidente e senza batterie con sopra i tuoi dati di base.
Ma insieme alla conferma del pagamento, che mi informava che la mia tessera associativa era in arrivo, c'era un promemoria che, se mai avessi voluto rinnovare la mia iscrizione, o richiedere una tessera sostitutiva in plastica, impermeabile, a prova di incidente e senza batterie. (purtroppo non sono a prova di perdita), dovrei creare un account sul sito web del gruppo, quindi perché non scegliere una password adesso?
In poche parole, per evitare in primo luogo la necessità di una password, dovrei crearne una in secondo luogo.
E ogni volta che compaiono le password, sorge anche una domanda di lunga data:
Dovresti cambiare tutte le tue password in continuazione per renderle obiettivi in rapido movimento per i criminali informatici, o bloccarne di molto complesse per cominciare, e poi lasciar perdere?
In effetti, questo è stato il problema che stamattina si è trovato ad affrontare un lettore esperto di Naked Security, il cui team IT si trovava proprio di fronte a questo dilemma, forse a causa di un'insicurezza informatica quasi mancata che avevano appena sperimentato in prima persona.
Che è migliore?
Password complesse o passphrase che potrebbero non essere modificate spesso o password scelte male che vengono cambiate regolarmente?
I nostri pensieri in merito sono i seguenti:
La modifica regolare della password non la rende magicamente una password migliore.
Solo scegliere una password migliore in primo luogo la rende una password migliore! (È qui che i gestori di password possono aiutare.)
Naked Security Live – Cosa succede se il mio gestore di password viene violato?
In altre parole, ti suggeriamo di affrontare prima il problema di aiutare i tuoi utenti a scegliere password decenti, poi di incoraggiarli a riconoscere i casi in cui dovrebbero cambiare la loro password subito, senza bisogno di un calendario che gli dica di farlo...
…e solo allora dovresti preoccuparti se hai davvero bisogno di una politica di “modifiche regolari a prescindere” anche per la password.
Richiedere modifiche della password ogni mese quando semplicemente non è necessario significa semplicemente invitare le persone a salvare le loro nuove password in modo non sicuro, o a scegliere nuove password in modo approssimativo, o a ruotare attraverso una sequenza ripetuta di N password correlate, o ad aggiornare sempre e solo le loro password ogni 30 giorni, anche in caso di emergenza.
Detto questo, è una buona idea bloccare gli utenti che non hanno avuto accesso a specifici account aziendali per un certo periodo. (Ciò protegge anche modestamente dagli account dimenticati, perché alla fine scadono automaticamente.)
Bloccare gli utenti per inattività è più invasivo che obbligarli semplicemente a reimpostare le password regolarmente, e quindi impopolare.
Ma se qualcuno ha un account aziendale che non utilizza, perché non spingerlo a giustificare di persona il motivo per cui ne ha ancora bisogno dopo che non lo ha utilizzato per, diciamo, sei mesi o un anno?
Dopotutto, se si tratta di un accesso per un prodotto o servizio che addebita una tariffa per utente... potresti anche riuscire a risparmiare sul costo dell'abbonamento.
E se davvero non hanno più bisogno dell'account, li aiuti a stare fuori dai guai impedendo a ladri e criminali informatici di fare cose cattive in loro nome.