Perché cambiare regolarmente la password non è una buona idea?

Una delle intuizioni più durature sulla sicurezza delle password è che cambiarle regolarmente aumenta la sicurezza. Almeno, questo è ciò che i team IT di tutto il mondo spingono le persone a fare da decenni.

Tuttavia, questo consiglio ha sempre incontrato opposizione. Molti nel settore della sicurezza sostengono che questo porta a password che sono comunque facili da ricordare. Ora la ricerca ha dimostrato questa teoria, dimostrando che cambiare frequentemente le password porta a problemi di sicurezza.

Cambiare frequentemente le password porta a una scarsa sicurezza

Molti di noi trovano intimidatorio dover cambiare la password ogni 4, 6 o 8 settimane. Un gruppo IT ha promosso l'idea che cambiare la password avrebbe reso inutile qualsiasi violazione della sicurezza, poiché tutti avrebbero utilizzato la nuova password.

In pratica, ciò comporta delle debolezze nella creazione delle password. Invece di creare password complesse, univoche e difficili da indovinare, la maggior parte delle persone sceglie password facili da ricordare, composte da piccole parti ripetute.

Ad esempio, una password complessa di 16 caratteri potrebbe essere "hS'9{yX?Fzu#=_:R", che include un mix di lettere maiuscole e minuscole, numeri e simboli. È difficile da ricordare, ma col tempo imparerai a farlo. Mentre se devi cambiare la password ogni mese, non avrai tempo di ricordartela. Di conseguenza, le persone hanno iniziato a utilizzare frasi più memorabili, con piccole parti ripetute.

• Gennaio: passworddifficile1
• Febbraio: d1fficultpassword2
• Marzo: d1ff1cultp4ssword3
• V,v...

Scegli password complesse e uniche (o usa un gestore di password)

Già nel 2015 il National Cyber ​​Security Centre del Regno Unito ha raccomandato di non utilizzare password tradizionali; ora, nel 2024, anche il National Standards Institute ha seguito l'esempio.

Il loro nuovo consiglio prevede che le password scadano ogni 365 giorni, modificando significativamente l'intervallo di tempo e aumentando la sicurezza.

Contemporaneamente, il NIST sta aggiornando anche i suoi messaggi sulla lunghezza e la robustezza delle password. In alcuni casi, le regole per la generazione delle password limitano gli utenti a 12 caratteri o impediscono l'utilizzo di determinati simboli. Attualmente, il NIST raccomanda che tutte le password:

• Minimo 15 caratteri
• Massimo 64 caratteri
• Include tutti i caratteri ASCII, gli spazi vuoti e i caratteri Unicode

Queste modifiche comportano che più campi di inserimento password consentiranno di utilizzare passphrase più forti e facili da ricordare, aumentando al contempo la robustezza complessiva della password.

Naturalmente, qualsiasi organizzazione interessata alla sicurezza delle password dovrebbe consentire l'uso di un gestore di password. L'utilizzo di un gestore di password comporta ulteriori considerazioni di sicurezza, come l'archiviazione locale dei dati, la crittografia zero-knowledge, ecc., ma è buona norma proteggere tutti i propri account con password complesse.