Cos'è la rotazione della password e come farlo correttamente?
Abbiamo parlato di quanto sia difficile creare una buona politica di password. Parte del problema sta nel fatto che non si tratta di un'attività imposta e dimentica. Le aziende devono adattarsi continuamente ai cambiamenti nel panorama delle minacce online e le loro politiche sulle password dovrebbero essere modificate in conformità con le ultime tendenze e cambiamenti. Sta succedendo nella realtà?
Bene, nel 2016, il National Institute of Standards and Technology (NIST), un'agenzia non normativa che fa parte del governo degli Stati Uniti, ha consigliato alle aziende di non forzare i propri dipendenti a cambiare le password ogni pochi mesi. Questo era esattamente l'opposto di ciò che le aziende erano state avvisate in precedenza, ma il NIST ha affermato che c'erano numerose prove del fatto che la modifica obbligatoria della password influisce negativamente sulla sicurezza online delle persone. Molti esperti hanno applaudito alla consulenza del NIST e continuano a supportarla, ma nonostante ciò, anche adesso, quasi quattro anni dopo, alcune organizzazioni continuano a forzare i propri dipendenti a cambiare regolarmente le loro password.
Le frequenti modifiche alla password portano alla rotazione della password
Il problema principale nel forzare le persone a cambiare frequentemente le loro password è che lo stress che metti su di loro porta a errori che potrebbero avere gravi conseguenze per la loro sicurezza online. Sapete tutti quanto sia difficile creare una password complessa e potete solo immaginare quanto potrebbe essere difficile se doveste farlo regolarmente.
Perché è un tale onere, le persone che hanno bisogno di cambiare la propria password spesso scelgono di salvarsi il disturbo e apportare semplici modifiche alle password esistenti (ad esempio, scambiando "password1" con "password2"). Un'altra strategia adottata dalle persone è quella di creare un elenco limitato di tre o quattro password che periodicamente ruotano.
Gli esperti di sicurezza possono elencare diversi motivi per cui la rotazione della password è una cattiva idea. L'utente di solito cerca di memorizzare le tre o quattro password e, di conseguenza, le credenziali non sono molto forti. Un altro problema deriva dal fatto che ogni tanto le password diventano valide. In teoria, se un hacker ha una delle password che ruoti, può periodicamente testarla sul tuo account e, alla fine, otterrà i tempi giusti e si romperà con successo.
Il caso generale contro le modifiche periodiche della password deriva dal fatto che i criminali informatici non aspettano che tu cambi la password prima che provino a compromettere il tuo account, ma la natura ripetitiva con cui le credenziali vengono scambiate in uno scenario di rotazione della password fa sì che le persone scelgano questa strategia è particolarmente vulnerabile. Sfortunatamente, come abbiamo già detto, a volte, le altre opzioni sono limitate.
Cosa puoi fare se la rotazione della password è l'unica opzione?
Alcune organizzazioni applicano ancora regolari cambi di password, il che significa che la rotazione della password è molto attiva e attiva. Peggio ancora, ci sono aziende che non consentono l'uso di un gestore di password, che può eliminare la necessità di ruotare completamente le password.
Se non hai altra scelta che ruotare un elenco di password, puoi almeno provare a mitigare il più possibile i rischi. Usa un'ampia varietà di caratteri e rendi le password il più casuali possibile. Creando un numero maggiore di password, stai ulteriormente limitando le possibilità di un compromesso riuscito, ma devi assicurarti che siano sostanzialmente diverse l'una dall'altra. Ultimo ma non meno importante, contatta la persona responsabile della creazione della politica delle password nella tua azienda e digli che le sue idee su un framework sicuro sono tristemente superate.
