Link alla notizia: https://www.hwupgrade.it/news/sistemi-operativi/microsoft-cambiare-password-con-frequenza-e-una-richiesta-arcaica-e-obsoleta_82696.html

Microsoft cambia policy di sicurezza con Windows 10 v1903 e Windows Server v1903. Dalle nuove versioni, infatti, fra le linee guida sulla sicurezza è scomparsa la richiesta di cambio password periodicamente

Click sul link per visualizzare la notizia.

Perfetto, peccato che poi il GDPR invece imponga il cambio password periodico tra le misure di sicurezza; mi chiedo se Microsoft prima di spararla così grossa abbia dato un occhio alle recenti normative sul trattamento dati/privacy... =/

E' il classico articolo che cerca di fuorviare le necessità di cambiare la password per poi sensibilizzare all'autenticazione a due fattori...

... che ovviamente costringerà l'utente a cedere altri dati personali, facendo credere che per maggiore sicurezza sia necessario far abbassare le barriere della privacy e dunque ecco: numeri di telefono, dati biometrici e così via che verranno richiesti per completare il profilo dell'utente nella massa di dati che entrano nei loro big data.

Il cambio psw in ottica aziendale è un problema solo per assenza di conseguenze e per svogliatezza della maggior parte degli utenti.

Basterebbe imporre al dipendente di ricordarsi la psw e di rendere la dimenticanza di quest'ultima motivo di licenziamento immediato ed unilaterale ed il problema svanirebbe.

Perfetto, peccato che poi il GDPR invece imponga il cambio password periodico tra le misure di sicurezza; mi chiedo se Microsoft prima di spararla così grossa abbia dato un occhio alle recenti normative sul trattamento dati/privacy... =/

Cosa c’entra il gdpr con quello che dice la Microsoft ? Nulla
Microsoft ha collaborato con documentazione technet molto precisa è diffusa a creare tutta una serie di pollici per rendere tutti i loro software comliant , mi chiedo se prima di parlare tu ti sia documentato a sufficienza invece che sparare sul primo che passa.

Il cambio psw in ottica aziendale è un problema solo per assenza di conseguenze e per svogliatezza della maggior parte degli utenti.

Basterebbe imporre al dipendente di ricordarsi la psw e di rendere la dimenticanza di quest'ultima motivo di licenziamento immediato ed unilaterale ed il problema svanirebbe.

Da noi funziona così ma se la dimenticano comunque è la danno ad altri utenti anche se poi possono essere oltre che licenziati anche pagare una grossa multa. Eppure lo fanno comunque non è un deterrente.

la migliore password è aprire una pagina di un libro e scegliere una frase a caso a caso e concatenare le parole es: oltreche_licenziatianche$pagare
le librerie non sono fatte per affrontare queste cose, per ora.
vi scrivete dentro l'anta di un armadio il num. di pag. del libro da qualche e siete a posto. se siete proprio babbi niente foglietti che si perdono, incidetelo con un punteruolo :/

Cosa c’entra il gdpr con quello che dice la Microsoft ? Nulla
Microsoft ha collaborato con documentazione technet molto precisa è diffusa a creare tutta una serie di pollici per rendere tutti i loro software comliant , mi chiedo se prima di parlare tu ti sia documentato a sufficienza invece che sparare sul primo che passa.

il gdpr c'entra con tutti noi europei, e anche con microsoft quando fornisce servizi a cittadini europei. Quindi quello che giustamente faceva notare sk0rpi0n è che finchè continuerà a "prestare servizi della società dell'informazione" questa nuova buona prassi che si sono inventati (e che francamente potrei anche condividere) cozza con una delle normative alle quali loro stessi e tutte le aziende alle quali rivendono servizi nel nostro continente devono sottostare.

la migliore password è aprire una pagina di un libro e scegliere una frase a caso a caso e concatenare le parole es: oltreche_licenziatianche$pagare
le librerie non sono fatte per affrontare queste cose, per ora.
vi scrivete dentro l'anta di un armadio il num. di pag. del libro da qualche e siete a posto. se siete proprio babbi niente foglietti che si perdono, incidetelo con un punteruolo :/
Nel nostro ultimo audit interno abbiamo visto che password come quella le troviamo in poche ore di attacco mirato tramite gpu, ti sorprenderesti a vedere che evoluzione ha raggiunto le analisi sulle password combinando attacchi da dizionario brute force e tramite pattern. L’unica password che non beccherai mai è quella che ha al suo interno uno spazio perché per ora i vari software di cracking non lo contemplano nei caratteri standard e nemmeno estesi.

Perfetto, peccato che poi il GDPR invece imponga il cambio password periodico tra le misure di sicurezza; mi chiedo se Microsoft prima di spararla così grossa abbia dato un occhio alle recenti normative sul trattamento dati/privacy... =/

Scusa, mi dici dove il GDPR ti impone il cambio password periodico?L'articolo 32 - Sicurezza del trattamento parla di misure adeguate in modo generico. non è richiesto esplicitamente il cambio periodico della password.

Scusa, mi dici dove il GDPR ti impone il cambio password periodico?L'articolo 32 - Sicurezza del trattamento parla di misure adeguate in modo generico. non è richiesto esplicitamente il cambio periodico della password.

difatti non lo dice ma è facile citare senza sapere. In realta a dare quella indicazione è l'agid non il gdpr che tratta di ben altre cose.

Nel nostro ultimo audit interno abbiamo visto che password come quella le troviamo in poche ore di attacco mirato tramite gpu, ti sorprenderesti a vedere che evoluzione ha raggiunto le analisi sulle password combinando attacchi da dizionario brute force e tramite pattern.

cioè provate con tutte le frasi di tutti i libri esistenti, concatenate con qualunque lunghezza?!? :confused: :mbe:
cmq concordo con MS: s'ata cosa di dover cambiare pass ogni 3x2, con le decine di account che si hanno, comporta:
- l'uso sempre della stessa psw
- variazioni minime fra un cambio e l'altro
- foglietti ovunque.

Il cambio psw in ottica aziendale è un problema solo per assenza di conseguenze e per svogliatezza della maggior parte degli utenti.

Basterebbe imporre al dipendente di ricordarsi la psw e di rendere la dimenticanza di quest'ultima motivo di licenziamento immediato ed unilaterale ed il problema svanirebbe.

dovrebbe essere imposto il licenziamento, la castrazione chimica e la privazione del sonno anche a chi dice cazzate. :rolleyes:

--Basterebbe imporre al dipendente di ricordarsi la psw e di rendere la dimenticanza di quest'ultima motivo di licenziamento immediato ed unilaterale ed il problema svanirebbe.

E allora si che, finalmente, vivremmo tutti in un mondo migliore!

dovrebbe essere imposto il licenziamento, la castrazione chimica e la privazione del sonno anche a chi dice cazzate. :rolleyes:Quindi ti proponi come primo soggetto per l'inaugurazione della procedura, perfetto.

Se non sei in grado di memorizzarti o appuntarti una cavolo di parola o hai qualche limite neurologico o dovremmo usare altri termini, scegli tu.

Quindi ti proponi come primo soggetto per l'inaugurazione della procedura, perfetto.

Se non sei in grado di memorizzarti o appuntarti una cavolo di parola o hai qualche limite neurologico o dovremmo usare altri termini, scegli tu.
se non capisci il mio post, il limite è tuo... :Prrr:

Biometria e doppia validazione ... e via le password.

Quanti sistemi ancora sono limitati a 11 caratteri o meno, e non accettano segni di interpunzione o spazi? una marea infinita.

Per costruire una buona passphrase basta nominare in elenco degli oggeti che abbiamo davanti, tipo "portaspecchiomonitormonitormonitorlibreria" ... craccamela va, ed e' anche facile da ricordare, almeno fino al passaggio alla biometria + doppia validazione.

Biometria e doppia validazione ... e via le password.

Quanti sistemi ancora sono limitati a 11 caratteri o meno, e non accettano segni di interpunzione o spazi? una marea infinita.

Per costruire una buona passphrase basta nominare in elenco degli oggeti che abbiamo davanti, tipo "portaspecchiomonitormonitormonitorlibreria" ... craccamela va, ed e' anche facile da ricordare, almeno fino al passaggio alla biometria + doppia validazione.

Carina ma mi sentirei più sicuro con una password tipo: ~zKRIu6783!!Pdc§§zerpU^_732!?_c

É pure più facile da ricordare...:asd:

https://xkcd.com/936/

This say all :)

E questa e' la confutazione :D ... lol
https://diogomonica.com/2014/10/11/password-security-why-the-horse-battery-staple-is-not-correct/

E questa e' la confutazione :D ... lol
https://diogomonica.com/2014/10/11/password-security-why-the-horse-battery-staple-is-not-correct/

Ma difatti sono d'accordo, a che cavolo serve una password tipo:
@@Password01
O
@@P@ssword01
o
@@P@ssword0!
Onestamente preferisco usare:
#XXXXXX!yyxyy@xyyX€yy\yy
Facile da generare e ricordare (le X sono caratteri maiuscoli, le x minuscoli e le y numeri)
Vediamo chi riesce a beccare quella password ( per lo meno come è stata generata)

Microsoft che da consigli sulla sicurezza, ce vuole coraggio :sofico:
ancora devono patchare i bug scoperti con mimikatz, password che viaggiano allegre su tutti i pc del dominio (in chiaro ovviamente), pronte per essere spooffate a costo 0 :asd:

Finalmente una buona notizia: non sarò più costretto a cambiare la mia password 12345. :D

Ma password per cosa ? Per fare il Login ?

Se il pc è aziendale ok, se è di casa.........non serve .

Scusate la mia ignoranza da utonto...
Leggo spesso degli attacchi brute force che utilizzano dizionari, scambio lettere/numeri (alfabeto leet), e varie ed eventuali. Ma è così difficile implementare un meccanismo che dopo p.es. 10 tentativi blocca la possibilità di fare login per 10 minuti? E se vengono rilevati altri 10 tentativi si blocca per 30 minuti e così via? E magari inviare anche una mail al titolare dell'account per informarlo dell'accaduto...
Se ad effettuare il login è l'utente legittimo è difficile che possa sbagliare la psw più di 10 volte, di contro un bot impiegherebbe anni per trovarla, IMHO

Scusate la mia ignoranza da utonto...
Leggo spesso degli attacchi brute force che utilizzano dizionari, scambio lettere/numeri (alfabeto leet), e varie ed eventuali. Ma è così difficile implementare un meccanismo che dopo p.es. 10 tentativi blocca la possibilità di fare login per 10 minuti? E se vengono rilevati altri 10 tentativi si blocca per 30 minuti e così via? E magari inviare anche una mail al titolare dell'account per informarlo dell'accaduto...
Se ad effettuare il login è l'utente legittimo è difficile che possa sbagliare la psw più di 10 volte, di contro un bot impiegherebbe anni per trovarla, IMHO

la tua ipotesi in effetti è già attuale, prova ad inserire più di 3 volte la password del bancomat e te la vedrai bloccata :O
su un pc non è molto fattibile, perchè per "bloccare" la login non basta inibire la gui all'utonto, questo infatti può sempre autenticarsi via console e quindi superare il blocco.. molto meglio usare account con username sconosciuti :read: piuttosto che il classico Administrator

la tua ipotesi in effetti è già attuale, prova ad inserire più di 3 volte la password del bancomat e te la vedrai bloccata :O
su un pc non è molto fattibile, perchè per "bloccare" la login non basta inibire la gui all'utonto, questo infatti può sempre autenticarsi via console e quindi superare il blocco.. molto meglio usare account con username sconosciuti :read: piuttosto che il classico Administrator

Infatti pensavo proprio al bancomat, ma anche le SIM telefoniche si bloccano dopo 3 tentativi errati

Riguardo il resto, io intendevo che il blocco temporaneo alla possibilità di effettuare il login fosse eseguito a livello kernel, non bloccare solo la gui; e credo che non sia così complicato aggiungere una opzione simile per la Microsoft/Apple/ecc.
E la cosa potrebbe essere aggiunta anche ai siti web, ed in effetti ne ho trovato qualcuno che usa questo metodo

...Ma è così difficile implementare un meccanismo che dopo p.es. 10 tentativi blocca la possibilità di fare login per 10 minuti? ...

suppongo che il problema sia l'attacco ad hash crittografici trafugati.
tipo che i craker di turno rubano un db di user/pass crittografati, e usano (sulla LORO macchina) un attacco bruteforce per individuare le pass. In uno scenario così il meccanismo proposto ovviamente non ha senso.

Il Cambio password continuo è più un problema legato ai Server, sia in Domain Control che Workgroup in cui sono schedulate delle task giornaliere e dove girano programmi Client-Server.

Ad ogni cambio Password le task saltano, IT è obbligato ad intervenire sempre per riattivare le task inserendo la nuova password, oltre a doversi collegare a tutti i client per rimettere la password di rete, dato che molte cartelle sono condivise. Quindi quasi tutti gli IT sul Server hanno messo "nessuna scadenza password" invece si utilizza una password Strong, che non contenga il nome dell'azienda , nomi, città, e caxxate simili, ma Minuscole, maiuscole, numeri e caratteri speciali, ed appunto almeno 11 caratteri.

poi se ti vogliono bucare, non è una password di windows a fermarli. Poi io ho visto password messe su server aperti al collegamento RDP esterno con ABCD1234, cose da paura :cry:

Finalmente una buona notizia: non sarò più costretto a cambiare la mia password 12345. :D

Fai bene, infatti è la password migliore che ci sia, non a caso usata da milioni di utenti al mondo, e ovviamente l'ideale anche per la propria valigia :D

... ho visto password messe su server aperti al collegamento RDP esterno con ABCD1234, cose da paura :cry:

beh, ci sono maiuscole, ci sono numeri, è abbastanza lunga... :p

suppongo che il problema sia l'attacco ad hash crittografici trafugati.
tipo che i craker di turno rubano un db di user/pass crittografati, e usano (sulla LORO macchina) un attacco bruteforce per individuare le pass. In uno scenario così il meccanismo proposto ovviamente non ha senso.

In effetti non avevo pensato a questa possibilità... :fiufiu:

In effetti non avevo pensato a questa possibilità... :fiufiu:

credo sia la più diffusa: l'attacco diretto ai campi user-pass su un sito si suppone (spera...) che ormai da 20 anni sia bloccata dopo x tentativi... :)
E anche non lo fosse è comunque rallentato dal fatto che deve passare tramite un sito, normalmente non così istantaneo a caricare le pagine...