Cambiare le password troppo spesso fa male alla sicurezza

È l'esatto contrario di quanto si crede.

[ZEUS News - www.zeusnews.it - 06-08-2016]

Tutti sanno quali sono le caratteristiche di una buona password: deve essere lunga, unica, robusta, e deve anche essere cambiata spesso.

Su quest'ultimo punto, però, non tutti sono d'accordo. Anzi, c'è addirittura chi è convinto che cambiare spesso la propria password non soltanto non irrobustisca la sicurezza, ma addirittura la indebolisca.

Tra queste persone c'è l'esperta di sicurezza informatica nonché professoressa Lorrie Cranor, della Carnegie Mellon University, la quale porta anche diverse prove a sostegno della propria tesi.

Consigliamo la lettura di:

Password, abbiamo sbagliato tutto: usare numeri, maiuscole e caratteri speciali ...

Dropbox ti obbliga a cambiare la password

Le app per gestire le password

In vendita 32 milioni di password rubate di utenti Twitter?

La professoressa Cranor ha iniziato a interrogarsi sulla bontà dell'abitudine di cambiare di frequenta la password quando ha cominciato a lavorare per la Federal Trade Commission: lì, i dipendenti dovevano variare la password ogni 60 giorni.

L'idea alla base di questa usanza è che, se all'interno dell'organizzazione stessa ci sono dei malintenzionati che ancora non sono stati individuati, un cambio frequente delle password evita che accedano ai sistemi per i quali non hanno i diritti: tutto il loro lavoro nel carpire le password altrui viene vanificato se queste cambiano di continuo.

Il guaio, secondo la Cranor, è che tutto ciò è soltanto una superstizione. I dati dimostrano infatti che ogni volta che un utente cambia una password questa diventa più debole o, quantomeno, più prevedibile.

Consigliamo la lettura di:

Hack di LinkedIn, 117 milioni di email e password in vendita

Badlock, la minaccia è reale: a rischio tutti i Windows e i Linux

Come rubare gli account di Facebook

Google progetta di far morire le password

La professoressa cita a sostegno della propria posizione uno studio pubblicato nel 2010.

Gli autori di questo studio hanno passato al setaccio gli hash delle password di 10.000 account non più in uso di dipendenti, studenti e professori dell'Università della Carolina del Nord, dove vige l'obbligo di variare password ogni tre mesi. Gli hash esaminati non erano soltanto quelli delle ultime password usate, ma anche di quelle adoperate in precedenza.

Sondaggio

Stai creando un nuovo account su un sito. Come sarà la tua password?

Leggi i commenti (12)

I dati hanno permesso di scoprire che, a ogni cambio obbligato di password, gli utenti apportavano soltanto minime variazioni a quella di partenza. Per esempio, una password come tarheels#1 diventava tArheels#1 al primo cambio, poi taRheels#1 e via di seguito. Oppure diventava tarheels#11, poi tarheels#111 e avanti così.

I ricercatori sono così stati in grado di elaborare un algoritmo capace di predire le variazioni delle password con elevata precisione. Messo alla prova, ha violato il 17% degli account in meno di cinque tentativi. Testando poi l'algoritmo con un supercomputer, il 41% degli account ha ceduto in meno di tre secondi.

Basandosi su dimostrazioni come questa e come quella fornita da un altro studio, elaborato alla Carlton University e che dimostra matematicamente come il cambio frequente delle password causi inconvenienti minimi ai malintenzionati, la professoressa Cranor ha convinto la FTC a rivedere la propria politica: costringere a variare spesso le password è inutile e dannoso.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 7)

{ictuscano}

Mah, a mio parere il problema non è dovuto al cambio password frequente, quanto il modo in cui lo fanno quelle persone.. è ovvio che se si fa secondo le sane regole di sicurezza, il cambio password frequente è un fattore di sicurezza, altroché (e concordo con chi ha scritto che la gestione del cambio deve... Leggi tutto
11-8-2016 14:23

Gladiator

Sono d'accordo, è l'obbligo al cambiamento che induce negli utenti l'atteggiamento negativo che porta ai comportamenti negativi descritti. Leggi tutto
9-8-2016 14:50

Cesco67

Dove lavoro c'è l'obbligo di cambiare la password (che deve essere composta da lettere minuscole, lettere maiuscole, numeri, segni di punteggiatura e non deve contenere nomi di persone) ogni 3 mesi, ma per motivi che non riesco a capire gli utenti non possono cambiare la password di propria sponte prima della scadenza :shock: Se ci... Leggi tutto
6-8-2016 08:26

amldc

A mio avviso l'affermazione dovrebbe essere : Obbligare a cambiare la password... Chi la cambia di propria volontà, probabilmente provvede a farlo con cognizione mentre l'atteggiamento descritto è tipico di quegli utenti che lo fanno di malavoglia e solo perché obbligati. Ricordo che nei tempi remoti in cui lavoravo su sistemi VMS c'era... Leggi tutto
5-8-2016 16:49

zero

Un buon sistema rifiuta una nuova password che sia troppo simile a quella vecchia. Lo studio dimostra solo che i sistemisti hanno applicato regole troppo permissive, vanificando il cambio psw. Leggi tutto
5-8-2016 16:41

Leggi gli altri 2 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(10 commenti) Bug di Windows 11 consente di ''espellere'' la GPU come se fosse una chiavetta USB	News(9 commenti) Raid Guardia di Finanza contro youtuber italiano. Recensiva retroconsole forse con ROM pirata

News(11 commenti)

Un vecchio Atari 2600 sconfigge la IA: Gemini rinuncia alla sfida a scacchi

News(11 commenti)

Svelate le specifiche dell'iPhone pieghevole: chip A20, fotocamera da 48 MP e prezzo davvero premium

Sicurezza(9 commenti)

Attenzione al falso SMS dell'ASL: è una truffa che ruba dati e denaro

News(14 commenti)

Compensi per copia privata, la SIAE alza le tariffe. E vuole tassare anche il cloud

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: