Cambiare le password troppo spesso fa male alla sicurezza

È l'esatto contrario di quanto si crede.



[ZEUS News - www.zeusnews.it - 06-08-2016]

cambiare password

Tutti sanno quali sono le caratteristiche di una buona password: deve essere lunga, unica, robusta, e deve anche essere cambiata spesso.

Su quest'ultimo punto, però, non tutti sono d'accordo. Anzi, c'è addirittura chi è convinto che cambiare spesso la propria password non soltanto non irrobustisca la sicurezza, ma addirittura la indebolisca.

Tra queste persone c'è l'esperta di sicurezza informatica nonché professoressa Lorrie Cranor, della Carnegie Mellon University, la quale porta anche diverse prove a sostegno della propria tesi.

La professoressa Cranor ha iniziato a interrogarsi sulla bontà dell'abitudine di cambiare di frequenta la password quando ha cominciato a lavorare per la Federal Trade Commission: lì, i dipendenti dovevano variare la password ogni 60 giorni.

L'idea alla base di questa usanza è che, se all'interno dell'organizzazione stessa ci sono dei malintenzionati che ancora non sono stati individuati, un cambio frequente delle password evita che accedano ai sistemi per i quali non hanno i diritti: tutto il loro lavoro nel carpire le password altrui viene vanificato se queste cambiano di continuo.

Il guaio, secondo la Cranor, è che tutto ciò è soltanto una superstizione. I dati dimostrano infatti che ogni volta che un utente cambia una password questa diventa più debole o, quantomeno, più prevedibile.

La professoressa cita a sostegno della propria posizione uno studio pubblicato nel 2010.

Gli autori di questo studio hanno passato al setaccio gli hash delle password di 10.000 account non più in uso di dipendenti, studenti e professori dell'Università della Carolina del Nord, dove vige l'obbligo di variare password ogni tre mesi. Gli hash esaminati non erano soltanto quelli delle ultime password usate, ma anche di quelle adoperate in precedenza.

Sondaggio
Stai creando un nuovo account su un sito. Come sarà la tua password?
Ho una sola password per tutti i miei account
Ho varie password che uso a rotazione quando devo creare un nuovo account
Ho un template per le password che modifico per ogni account
Creo una nuova password, assicurandomi che sia robusta

Mostra i risultati (1544 voti)
Leggi i commenti (12)

I dati hanno permesso di scoprire che, a ogni cambio obbligato di password, gli utenti apportavano soltanto minime variazioni a quella di partenza. Per esempio, una password come tarheels#1 diventava tArheels#1 al primo cambio, poi taRheels#1 e via di seguito. Oppure diventava tarheels#11, poi tarheels#111 e avanti così.

I ricercatori sono così stati in grado di elaborare un algoritmo capace di predire le variazioni delle password con elevata precisione. Messo alla prova, ha violato il 17% degli account in meno di cinque tentativi. Testando poi l'algoritmo con un supercomputer, il 41% degli account ha ceduto in meno di tre secondi.

Basandosi su dimostrazioni come questa e come quella fornita da un altro studio, elaborato alla Carlton University e che dimostra matematicamente come il cambio frequente delle password causi inconvenienti minimi ai malintenzionati, la professoressa Cranor ha convinto la FTC a rivedere la propria politica: costringere a variare spesso le password è inutile e dannoso.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Password, abbiamo sbagliato tutto: usare numeri, maiuscole e caratteri speciali non serve
Dropbox ti obbliga a cambiare la password
Le app per gestire le password
In vendita 32 milioni di password rubate di utenti Twitter?
Hack di LinkedIn, 117 milioni di email e password in vendita
Badlock, la minaccia è reale: a rischio tutti i Windows e i Linux
Come rubare gli account di Facebook
Google progetta di far morire le password

Commenti all'articolo (ultimi 5 di 7)

{ictuscano}
Mah, a mio parere il problema non è dovuto al cambio password frequente, quanto il modo in cui lo fanno quelle persone.. è ovvio che se si fa secondo le sane regole di sicurezza, il cambio password frequente è un fattore di sicurezza, altroché (e concordo con chi ha scritto che la gestione del cambio deve... Leggi tutto
11-8-2016 14:23

Sono d'accordo, è l'obbligo al cambiamento che induce negli utenti l'atteggiamento negativo che porta ai comportamenti negativi descritti. Leggi tutto
9-8-2016 14:50

Dove lavoro c'è l'obbligo di cambiare la password (che deve essere composta da lettere minuscole, lettere maiuscole, numeri, segni di punteggiatura e non deve contenere nomi di persone) ogni 3 mesi, ma per motivi che non riesco a capire gli utenti non possono cambiare la password di propria sponte prima della scadenza :shock: Se ci... Leggi tutto
6-8-2016 08:26

A mio avviso l'affermazione dovrebbe essere : Obbligare a cambiare la password... Chi la cambia di propria volontà, probabilmente provvede a farlo con cognizione mentre l'atteggiamento descritto è tipico di quegli utenti che lo fanno di malavoglia e solo perché obbligati. Ricordo che nei tempi remoti in cui lavoravo su sistemi VMS c'era... Leggi tutto
5-8-2016 16:49

Un buon sistema rifiuta una nuova password che sia troppo simile a quella vecchia. Lo studio dimostra solo che i sistemisti hanno applicato regole troppo permissive, vanificando il cambio psw. Leggi tutto
5-8-2016 16:41

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
A partire da quale età è utile un telefono cellulare?
Prima degli 8 anni
Da 8 a 10 anni
Da 10 a 12 anni
Da 12 a 14 anni
Da 14 a 16 anni
Da 16 a 18 anni
Dopo i 18 anni

Mostra i risultati (3373 voti)
Ottobre 2020
Windows 10 elimina la schermata Sistema, un trucco la riporta in vita
L'app che “spoglia” le donne: garante privacy apre istruttoria
Gasolio addio, FS vuole i treni a idrogeno
Windows 10, guai a catena dopo l'ultimo aggiornamento
Windows 10, Pc riavviati a forza per installare le web app di Office
Quel motivetto che hai in testa? Se lo fischietti, Google lo indovina
YouTube pronta a far guerra ad Amazon
Le cipolle troppo sexy per Facebook
Smishing, i consigli per non cadere nel tranello
Arrestato per recensioni online negative di un albergo
Windows 10, arriva l'installazione personalizzata
Il sito che installa tutte le app essenziali per Windows 10
Covid-19, casi sottostimati per colpa di Excel
Il furto automatico del PIN della carta di credito
Windows 10 avvisa l'utente se un SSD sta per morire
Tutti gli Arretrati


web metrics