Cambiare le password troppo spesso fa male alla sicurezza

È l'esatto contrario di quanto si crede.



[ZEUS News - www.zeusnews.it - 06-08-2016]

cambiare password

Tutti sanno quali sono le caratteristiche di una buona password: deve essere lunga, unica, robusta, e deve anche essere cambiata spesso.

Su quest'ultimo punto, però, non tutti sono d'accordo. Anzi, c'è addirittura chi è convinto che cambiare spesso la propria password non soltanto non irrobustisca la sicurezza, ma addirittura la indebolisca.

Tra queste persone c'è l'esperta di sicurezza informatica nonché professoressa Lorrie Cranor, della Carnegie Mellon University, la quale porta anche diverse prove a sostegno della propria tesi.

La professoressa Cranor ha iniziato a interrogarsi sulla bontà dell'abitudine di cambiare di frequenta la password quando ha cominciato a lavorare per la Federal Trade Commission: lì, i dipendenti dovevano variare la password ogni 60 giorni.

L'idea alla base di questa usanza è che, se all'interno dell'organizzazione stessa ci sono dei malintenzionati che ancora non sono stati individuati, un cambio frequente delle password evita che accedano ai sistemi per i quali non hanno i diritti: tutto il loro lavoro nel carpire le password altrui viene vanificato se queste cambiano di continuo.

Il guaio, secondo la Cranor, è che tutto ciò è soltanto una superstizione. I dati dimostrano infatti che ogni volta che un utente cambia una password questa diventa più debole o, quantomeno, più prevedibile.

La professoressa cita a sostegno della propria posizione uno studio pubblicato nel 2010.

Gli autori di questo studio hanno passato al setaccio gli hash delle password di 10.000 account non più in uso di dipendenti, studenti e professori dell'Università della Carolina del Nord, dove vige l'obbligo di variare password ogni tre mesi. Gli hash esaminati non erano soltanto quelli delle ultime password usate, ma anche di quelle adoperate in precedenza.

Sondaggio
Stai creando un nuovo account su un sito. Come sarà la tua password?
Ho una sola password per tutti i miei account
Ho varie password che uso a rotazione quando devo creare un nuovo account
Ho un template per le password che modifico per ogni account
Creo una nuova password, assicurandomi che sia robusta

Mostra i risultati (1633 voti)
Leggi i commenti (12)

I dati hanno permesso di scoprire che, a ogni cambio obbligato di password, gli utenti apportavano soltanto minime variazioni a quella di partenza. Per esempio, una password come tarheels#1 diventava tArheels#1 al primo cambio, poi taRheels#1 e via di seguito. Oppure diventava tarheels#11, poi tarheels#111 e avanti così.

I ricercatori sono così stati in grado di elaborare un algoritmo capace di predire le variazioni delle password con elevata precisione. Messo alla prova, ha violato il 17% degli account in meno di cinque tentativi. Testando poi l'algoritmo con un supercomputer, il 41% degli account ha ceduto in meno di tre secondi.

Basandosi su dimostrazioni come questa e come quella fornita da un altro studio, elaborato alla Carlton University e che dimostra matematicamente come il cambio frequente delle password causi inconvenienti minimi ai malintenzionati, la professoressa Cranor ha convinto la FTC a rivedere la propria politica: costringere a variare spesso le password è inutile e dannoso.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 7)

{ictuscano}
Mah, a mio parere il problema non è dovuto al cambio password frequente, quanto il modo in cui lo fanno quelle persone.. è ovvio che se si fa secondo le sane regole di sicurezza, il cambio password frequente è un fattore di sicurezza, altroché (e concordo con chi ha scritto che la gestione del cambio deve... Leggi tutto
11-8-2016 14:23

Sono d'accordo, è l'obbligo al cambiamento che induce negli utenti l'atteggiamento negativo che porta ai comportamenti negativi descritti. Leggi tutto
9-8-2016 14:50

Dove lavoro c'è l'obbligo di cambiare la password (che deve essere composta da lettere minuscole, lettere maiuscole, numeri, segni di punteggiatura e non deve contenere nomi di persone) ogni 3 mesi, ma per motivi che non riesco a capire gli utenti non possono cambiare la password di propria sponte prima della scadenza :shock: Se ci... Leggi tutto
6-8-2016 08:26

A mio avviso l'affermazione dovrebbe essere : Obbligare a cambiare la password... Chi la cambia di propria volontà, probabilmente provvede a farlo con cognizione mentre l'atteggiamento descritto è tipico di quegli utenti che lo fanno di malavoglia e solo perché obbligati. Ricordo che nei tempi remoti in cui lavoravo su sistemi VMS c'era... Leggi tutto
5-8-2016 16:49

Un buon sistema rifiuta una nuova password che sia troppo simile a quella vecchia. Lo studio dimostra solo che i sistemisti hanno applicato regole troppo permissive, vanificando il cambio psw. Leggi tutto
5-8-2016 16:41

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Le proteste che hanno spinto Google a sospendere Street View in alcuni Paesi...
sono giuste: occorrono limiti più seri per salvaguardare la privacy.
sono ingiuste: Street View non danneggia affatto la privacy.

Mostra i risultati (2674 voti)
Agosto 2022
Le chiavi dell'auto? Al sicuro nel microonde
Intel, 5 miliardi per costruire uno stabilimento in Italia
E Spot prese il fucile
Gmail, la nuova interfaccia adesso è per tutti
Luglio 2022
Istruzioni per il voto: la busta
Il Tribunale di Milano ordina a Cloudflare di censurare tre siti
Microsoft, un nuovo Windows ogni tre anni
TIM: 9.000 esuberi e un ultimatum al Governo
L'algoritmo che predice i crimini con una settimana d'anticipo
Alexa fa parlare i morti
Giugno 2022
Tesla e la batteria che dura 100 anni
Cosa succede alle password se cambio o perdo il mio dispositivo?
Il sistema operativo open source che ridà vita ai vecchi smartphone
Adobe, prove di Photoshop gratuito per tutti
15 giugno, finisce l'era di Internet Explorer
Tutti gli Arretrati
Accadde oggi - 9 agosto


web metrics