Password, l'obbligo di cambiarle è spesso controproducente

Password, l'obbligo di cambiarle è spesso controproducente

Le politiche di sicurezza che impongono il cambiamento delle password per periodi di tempo prefissati non sono utili a mantenere alta la guardia e, anzi, potrebbero essere dannose. E' l'opinione del Chief Technologist della Federal Trade Commission americana

di Andrea Bai pubblicata il , alle 16:01 nel canale Sicurezza
 

Essere obbligati a cambiare spesso le proprie password non solo non migliora il livello di sicurezza ma, anzi, lo può peggiorare. Un'opinione abbastanza curiosa, che va in netta controtendenza a quelli che sono gli abituali "consigli della nonna" in tema di sicurezza informatica e alle pratiche più comuni adottate in moltissime aziende e organizzazioni amministrative.

Ancor più curioso il fatto che questa opinione sia quella di Lorrie Cranon, chief technologist presso la Federal Trade Commission statunitense, cioè l'agenzia che si occupa di monitorare e garantire il rispetto delle regole sul mercato USA. Una realtà per la quale la sicurezza delle informazioni è sicuramente tra i primissimi posti della scala delle priorità.

Ars Technica racconta che tutto nasce da un tweet diffuso poco dopo la nomina di Cranon a Chief Technologist, nel quale l'FTC si rivolgeva al pubblico: "Incoraggiate i vostri cari a cambiare spesso la password, componendone una che sia lunga, robusta e unica".

Cranor, in precedenza docente presso la Carneige Mellon University, ha raccontato in occasione del BSides di Las Vegas: "Ho visto questo tweet e mi sono chiesta - Perché l'FTC dice a tutti di cambiare la password? - Mi sono recata dalle persone che si occupano della gestione dei social media e ho girato loro la domanda, i quali mi hanno risposto: dovrebbe essere una buona pratica perché qui all'FTC cambiamo password ogni 60 giorni". Il principio di fondo è che la rete di un'organizzazione (di qualsiasi tipo: azienda, ente, agenzia, accademia e via discorrendo) può avere attaccanti al suo interno che ancora non sono stati individuati e che possono essere messi fuori gioco da un frequente cambio di password.

Di diverso avviso, tuttavia, è Cranor che basa la propria opinione su una serie di ricerche condotte di recenti le quali mettono in luce come le pratiche di cambio obbligatorio delle password sono più dannose che utili. La Chief Technologist dell'FTC ha quindi deciso di confrontarsi con il Chief Technology Officer e il Chief Information Security Officer proprio su questo aspetto, mostrando loro uno studio pubblicato nel 2010 dai ricercatori dell'University of Carolina at Chapel Hill.

I ricercatori hanno recuperato gli hash crittografici di circa 8 mila account scaduti che in precedenza appartenevano ad impiegati dell'università, studenti o insegnanti e ai quali è stato imposto di cambiare le proprie password ogni tre mesi. I dati ottenuti dai ricercatori comprendevano non solo l'ultima password usata ma anche quelle cambiate nel corso del tempo. Lo studio di questa miniera di informazioni ha permesso di identificare una serie di tecniche abbastanza comuni che i titolari di un account mettono in pratica quando si trovano a dover cambiare password a cadenze prefissate.

Una password come ciaomamma#1 diventa frequentemente cIaomamma#1 dopo il primo cambio, ciAomamma#1 dopo il secondo cambio e via discorrendo, oppure ciaomamma#11 al primo cambio e ciaomamma#111 al secondo cambio, oppure ancora ciaomamma#2, ciaomamma#3 e così via. "I ricercatori UNC hanno osservato che se le persone devono cambiare password ogni 90 giorni tendono ad usare uno schema prefissato e fanno ciò che si chiama trasformazione: prendono la vecchia password, ne cambiano qualche elemento, e ottengono la nuova password" ha sottolineato Cranor.

Quando si è obbligati a cambiare password con frequenza, si usano schemi di trasformazione facili da individuare.

Quanto individuato è stato utilizzato dai ricercatori per sviluppare una serie di algoritmi capaci di indovinare i cambiamenti con un elevato grado di accuratezza, mettendoli alla prova in una simulazione real-world per verificare la loro efficacia. Nel caso di attacchi online, dove la tecnica è quella di compiere un elevato numero di tentativi per indovinare una password prima che la rete presa a bersaglio metta fuori gioco gli attaccanti, l'algoritmo ha violato il 17% degli account presi di mira in meno di cinque tentativi. In una simulazione offline compiuta sugli hash recuperati in precedenza e usando sistemi di calcolo ad elevate prestazioni, il 41% delle password cambiate è stato violato entro tre secondi.

A corollario di ciò un altro studio, questa volta ad opera dei ricercatori della Carlton University, ha offerto una dimostrazione matematica di come frequenti cambi di password vadano ad ostacolare solo minimamente gli attaccanti e comunque non in maniera tale da compensare le noie dell'utente finale nel dover ottemperare all'obbligo. Nel corso degli anni anche altre realtà come il National Institute of Standard and Technology statunitense e l'agenzia governativa britannica CESG hanno preso atto di come i cambi di password obbligatori siano inefficaci e controproducenti. E ora, sulla spinta della posizione di Cranor, anche l'FTC sta iniziando ad essere dello stesso avviso.

"Sono contenta che per due delle mie sei password governative non vi sono più obblighi di variazione prefissati. Stiamo ancora lavorando al resto" ha affermato Cranor.

46 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Beelzebub03 Agosto 2016, 16:24 #1
E' una menata indicibile. Ogni volta che devo andare sul conto corrente, mi tocca cambiare 2 password e 1 pin. Ogni tot giorni il sito dell'agenzia delle entrate mi obbliga a cambiare password. Il sito dell'inps genera una nuova password in automatico ogni tot giorni. Idem per altri servizi che utilizzo per lavoro... dal punto di vista della produttività è un rallentamento continuo, una perdita di tempo e il rischio di sbagliare qualcosa in fase di inserimento/memorizzazione delle password, con impossibilità di utilizzo del servizio e menate ulteriori per recuperare l'accesso. Moltiplicato per tutti gli utenti di un'azienda, sia essa micro, piccola o media, diventa un costo non da poco.
Cfranco03 Agosto 2016, 16:34 #2
Finalmente qualcuno dice chiaramente che forzare la gente a cambiare password ogni pochi giorni è solo una rottura di scatole e non aumenta la sicurezza, anzi siccome ogni mese la devi reimparare :
1 - te la scriverai su qualche foglio di carta appiccicato al monitor
2 - la sceglierai facile da ricordare e cambierai soltanto l' ultima cifra
demon7703 Agosto 2016, 16:34 #3
Originariamente inviato da: Beelzebub
E' una menata indicibile. Ogni volta che devo andare sul conto corrente, mi tocca cambiare 2 password e 1 pin. Ogni tot giorni il sito dell'agenzia delle entrate mi obbliga a cambiare password. Il sito dell'inps genera una nuova password in automatico ogni tot giorni. Idem per altri servizi che utilizzo per lavoro... dal punto di vista della produttività è un rallentamento continuo, una perdita di tempo e il rischio di sbagliare qualcosa in fase di inserimento/memorizzazione delle password, con impossibilità di utilizzo del servizio e menate ulteriori per recuperare l'accesso. Moltiplicato per tutti gli utenti di un'azienda, sia essa micro, piccola o media, diventa un costo non da poco.


COME NON QUOTARE.
In realtà questo cambio di password obbligatorio genera spesso un gran casino, oltre che possibili problemi come citato.
Oltretutto uno deve costantemente tenere aggiornato il book delle password rischiando di sbagliare.

Sono criteri che andrebbero certamente rivisti:
Password più lunghe ed alfanumeriche (es. 12 caratteri minimo) e richiesta di cambio pesantemente diradata. Tipo una volta all'anno.
Pier220403 Agosto 2016, 16:36 #4
Sono daccordo, cambiare la password continuamente è una seccatura e basta...
roccia123403 Agosto 2016, 16:49 #5
Originariamente inviato da: Beelzebub
E' una menata indicibile. Ogni volta che devo andare sul conto corrente, mi tocca cambiare 2 password e 1 pin. Ogni tot giorni il sito dell'agenzia delle entrate mi obbliga a cambiare password. Il sito dell'inps genera una nuova password in automatico ogni tot giorni. Idem per altri servizi che utilizzo per lavoro... dal punto di vista della produttività è un rallentamento continuo, una perdita di tempo e il rischio di sbagliare qualcosa in fase di inserimento/memorizzazione delle password, con impossibilità di utilizzo del servizio e menate ulteriori per recuperare l'accesso. Moltiplicato per tutti gli utenti di un'azienda, sia essa micro, piccola o media, diventa un costo non da poco.


Originariamente inviato da: Cfranco
Finalmente qualcuno dice chiaramente che forzare la gente a cambiare password ogni pochi giorni è solo una rottura di scatole e non aumenta la sicurezza, anzi siccome ogni mese la devi reimparare :
1 - te la scriverai su qualche foglio di carta appiccicato al monitor
2 - la sceglierai facile da ricordare e cambierai soltanto l' ultima cifra


Concordo
Apix_102403 Agosto 2016, 16:54 #6
piano piano la si capirà che poi alla fine l'utente medio gira continuamente le 4/5 pass tra i vari siti e bona.
se si imponesse di fare pass alfanumeriche con caratteri speciali, maiuscole, minuscole e punteggiature da più di 10 caratteri vedi che son sicure come cambiarla una volta al mese!
kamon03 Agosto 2016, 17:04 #7
Originariamente inviato da: Beelzebub
E' una menata indicibile. Ogni volta che devo andare sul conto corrente, mi tocca cambiare 2 password e 1 pin. Ogni tot giorni il sito dell'agenzia delle entrate mi obbliga a cambiare password. Il sito dell'inps genera una nuova password in automatico ogni tot giorni. Idem per altri servizi che utilizzo per lavoro... dal punto di vista della produttività è un rallentamento continuo, una perdita di tempo e il rischio di sbagliare qualcosa in fase di inserimento/memorizzazione delle password, con impossibilità di utilizzo del servizio e menate ulteriori per recuperare l'accesso. Moltiplicato per tutti gli utenti di un'azienda, sia essa micro, piccola o media, diventa un costo non da poco.

Originariamente inviato da: Cfranco
Finalmente qualcuno dice chiaramente che forzare la gente a cambiare password ogni pochi giorni è solo una rottura di scatole e non aumenta la sicurezza, anzi siccome ogni mese la devi reimparare :
1 - te la scriverai su qualche foglio di carta appiccicato al monitor
2 - la sceglierai facile da ricordare e cambierai soltanto l' ultima cifra

Quotone formato famiglia, armato, agguerrito e pure abbronzato...
Madcrix03 Agosto 2016, 17:24 #8
Sempre sostenuto che è ridicolo cambiare spesso password, spinge solo gli utenti ad usare password facili con variazioni minime ad ogni giro. Dovendo gestire in ufficio solo per uso personale qualcosa come 15 password posso assicurare che sono praticamente tutte variazioni minime della stessa e che molte sono assolutamente la stessa. E come me, tutti.
Invece di cambiare ogni 60 giorni, basterebbe impostarne una solida solida e non cambiarla quasi mai, al max una volta all'anno, la sicurezza ne guadagnerebbe.
pingalep03 Agosto 2016, 17:30 #9
ebay mi rifuta la password complessa(15 caratteri, lettere e numeri, punteggiatura caratt. speciali maiuscole). che so essere esatta. faccio la procedura per cambiarla. metto la stessa. ebay mi dice: la nuova password non può essere identica alla vecchia.

FUUUUUUUUUUUUUUUUUU...

è la terza volta che mi capita
Pier220403 Agosto 2016, 17:57 #10
Originariamente inviato da: TRKChromium
Per i servizi online invece sarebbe meglio usare una password diversa per ogni sito invece che cambiarla ogni tot utilizzandone una uguale per tutti


Password diversa che ho visto memorizzare con uno stick incollato all'interno di un portafoglio di un collega ..tipo, prego si accomodi

se si parla di servizi bancari, quindi altamente critici, penso è sufficente nome utente e o-key con password dinamiche, altri servizi invece serve una password robusta, cambiarla ogni mese è una disgrazia...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^