Cambiare le password troppo spesso fa male alla sicurezza

È l'esatto contrario di quanto si crede.



[ZEUS News - www.zeusnews.it - 06-08-2016]

cambiare password

Tutti sanno quali sono le caratteristiche di una buona password: deve essere lunga, unica, robusta, e deve anche essere cambiata spesso.

Su quest'ultimo punto, però, non tutti sono d'accordo. Anzi, c'è addirittura chi è convinto che cambiare spesso la propria password non soltanto non irrobustisca la sicurezza, ma addirittura la indebolisca.

Tra queste persone c'è l'esperta di sicurezza informatica nonché professoressa Lorrie Cranor, della Carnegie Mellon University, la quale porta anche diverse prove a sostegno della propria tesi.

La professoressa Cranor ha iniziato a interrogarsi sulla bontà dell'abitudine di cambiare di frequenta la password quando ha cominciato a lavorare per la Federal Trade Commission: lì, i dipendenti dovevano variare la password ogni 60 giorni.

L'idea alla base di questa usanza è che, se all'interno dell'organizzazione stessa ci sono dei malintenzionati che ancora non sono stati individuati, un cambio frequente delle password evita che accedano ai sistemi per i quali non hanno i diritti: tutto il loro lavoro nel carpire le password altrui viene vanificato se queste cambiano di continuo.

Il guaio, secondo la Cranor, è che tutto ciò è soltanto una superstizione. I dati dimostrano infatti che ogni volta che un utente cambia una password questa diventa più debole o, quantomeno, più prevedibile.

La professoressa cita a sostegno della propria posizione uno studio pubblicato nel 2010.

Gli autori di questo studio hanno passato al setaccio gli hash delle password di 10.000 account non più in uso di dipendenti, studenti e professori dell'Università della Carolina del Nord, dove vige l'obbligo di variare password ogni tre mesi. Gli hash esaminati non erano soltanto quelli delle ultime password usate, ma anche di quelle adoperate in precedenza.

Sondaggio
Stai creando un nuovo account su un sito. Come sarà la tua password?
Ho una sola password per tutti i miei account
Ho varie password che uso a rotazione quando devo creare un nuovo account
Ho un template per le password che modifico per ogni account
Creo una nuova password, assicurandomi che sia robusta

Mostra i risultati (1512 voti)
Leggi i commenti (12)

I dati hanno permesso di scoprire che, a ogni cambio obbligato di password, gli utenti apportavano soltanto minime variazioni a quella di partenza. Per esempio, una password come tarheels#1 diventava tArheels#1 al primo cambio, poi taRheels#1 e via di seguito. Oppure diventava tarheels#11, poi tarheels#111 e avanti così.

I ricercatori sono così stati in grado di elaborare un algoritmo capace di predire le variazioni delle password con elevata precisione. Messo alla prova, ha violato il 17% degli account in meno di cinque tentativi. Testando poi l'algoritmo con un supercomputer, il 41% degli account ha ceduto in meno di tre secondi.

Basandosi su dimostrazioni come questa e come quella fornita da un altro studio, elaborato alla Carlton University e che dimostra matematicamente come il cambio frequente delle password causi inconvenienti minimi ai malintenzionati, la professoressa Cranor ha convinto la FTC a rivedere la propria politica: costringere a variare spesso le password è inutile e dannoso.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Password, abbiamo sbagliato tutto: usare numeri, maiuscole e caratteri speciali non serve
Dropbox ti obbliga a cambiare la password
Le app per gestire le password
In vendita 32 milioni di password rubate di utenti Twitter?
Hack di LinkedIn, 117 milioni di email e password in vendita
Badlock, la minaccia è reale: a rischio tutti i Windows e i Linux
Come rubare gli account di Facebook
Google progetta di far morire le password

Commenti all'articolo (ultimi 5 di 7)

{ictuscano}
Mah, a mio parere il problema non è dovuto al cambio password frequente, quanto il modo in cui lo fanno quelle persone.. è ovvio che se si fa secondo le sane regole di sicurezza, il cambio password frequente è un fattore di sicurezza, altroché (e concordo con chi ha scritto che la gestione del cambio deve... Leggi tutto
11-8-2016 14:23

Sono d'accordo, è l'obbligo al cambiamento che induce negli utenti l'atteggiamento negativo che porta ai comportamenti negativi descritti. Leggi tutto
9-8-2016 14:50

Dove lavoro c'è l'obbligo di cambiare la password (che deve essere composta da lettere minuscole, lettere maiuscole, numeri, segni di punteggiatura e non deve contenere nomi di persone) ogni 3 mesi, ma per motivi che non riesco a capire gli utenti non possono cambiare la password di propria sponte prima della scadenza :shock: Se ci... Leggi tutto
6-8-2016 08:26

A mio avviso l'affermazione dovrebbe essere : Obbligare a cambiare la password... Chi la cambia di propria volontà, probabilmente provvede a farlo con cognizione mentre l'atteggiamento descritto è tipico di quegli utenti che lo fanno di malavoglia e solo perché obbligati. Ricordo che nei tempi remoti in cui lavoravo su sistemi VMS c'era... Leggi tutto
5-8-2016 16:49

Un buon sistema rifiuta una nuova password che sia troppo simile a quella vecchia. Lo studio dimostra solo che i sistemisti hanno applicato regole troppo permissive, vanificando il cambio psw. Leggi tutto
5-8-2016 16:41

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quali tra queste informazioni ti piacerebbe che fossero rese pubbliche?
I provvedimenti sanitari relativi a bar, ristoranti e altri locali pubblici.
Il casellario giudiziale con le fedine penali dei cittadini.
Le valutazioni sulle performance degli insegnanti scolastici e dei professori universitari.
Le transazioni immobiliari effettuate da ciascun cittadino.
I mutui accesi da ciascun cittadino.
Le dichiarazioni dei redditi di ciascun cittadino.

Mostra i risultati (1912 voti)
Luglio 2020
Razzismo: via i termini blacklist, master e slave dal kernel Linux
WindowsFX, la distribuzione Linux per chi vuole lasciare Windows 10
Come disinstallare il nuovo Edge da Windows 10
Iliad diventa operatore di rete fissa
Hai installato Immuni?
Windows 10 rinnova il menu Start
Arriva Edge, e i computer rallentano
Giugno 2020
Favicon sfruttate per rubare i dati delle carte di credito
Windows 10, dov'è finita l'opzione per rimandare gli aggiornamenti?
Windows 10, l'ultimo aggiornamento riavvia i Pc a forza
La Casa Bianca e il video delle cataste di mattoni
Pornografia, il Parlamento prepara un filtro al web
La foto che paralizza alcuni smartphone Android
Il trucco che elimina la pubblicità da YouTube
L'Italia censura il progetto Gutenberg
Tutti gli Arretrati


web metrics