Password, l'obbligo di cambiarle è spesso controproducente

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...nte_63918.html

Le politiche di sicurezza che impongono il cambiamento delle password per periodi di tempo prefissati non sono utili a mantenere alta la guardia e, anzi, potrebbero essere dannose. E' l'opinione del Chief Technologist della Federal Trade Commission americana

Click sul link per visualizzare la notizia.

[Beelzebub]

E' una menata indicibile. Ogni volta che devo andare sul conto corrente, mi tocca cambiare 2 password e 1 pin. Ogni tot giorni il sito dell'agenzia delle entrate mi obbliga a cambiare password. Il sito dell'inps genera una nuova password in automatico ogni tot giorni. Idem per altri servizi che utilizzo per lavoro... dal punto di vista della produttività è un rallentamento continuo, una perdita di tempo e il rischio di sbagliare qualcosa in fase di inserimento/memorizzazione delle password, con impossibilità di utilizzo del servizio e menate ulteriori per recuperare l'accesso. Moltiplicato per tutti gli utenti di un'azienda, sia essa micro, piccola o media, diventa un costo non da poco.

[Cfranco]

Finalmente qualcuno dice chiaramente che forzare la gente a cambiare password ogni pochi giorni è solo una rottura di scatole e non aumenta la sicurezza, anzi siccome ogni mese la devi reimparare :
1 - te la scriverai su qualche foglio di carta appiccicato al monitor
2 - la sceglierai facile da ricordare e cambierai soltanto l' ultima cifra

[demon77]

Quote:

Originariamente inviato da Beelzebub

E' una menata indicibile. Ogni volta che devo andare sul conto corrente, mi tocca cambiare 2 password e 1 pin. Ogni tot giorni il sito dell'agenzia delle entrate mi obbliga a cambiare password. Il sito dell'inps genera una nuova password in automatico ogni tot giorni. Idem per altri servizi che utilizzo per lavoro... dal punto di vista della produttività è un rallentamento continuo, una perdita di tempo e il rischio di sbagliare qualcosa in fase di inserimento/memorizzazione delle password, con impossibilità di utilizzo del servizio e menate ulteriori per recuperare l'accesso. Moltiplicato per tutti gli utenti di un'azienda, sia essa micro, piccola o media, diventa un costo non da poco.

COME NON QUOTARE.
In realtà questo cambio di password obbligatorio genera spesso un gran casino, oltre che possibili problemi come citato.
Oltretutto uno deve costantemente tenere aggiornato il book delle password rischiando di sbagliare.

Sono criteri che andrebbero certamente rivisti:
Password più lunghe ed alfanumeriche (es. 12 caratteri minimo) e richiesta di cambio pesantemente diradata. Tipo una volta all'anno.

[Pier2204]

Sono daccordo, cambiare la password continuamente è una seccatura e basta...

[roccia1234]

Quote:

Originariamente inviato da Beelzebub

E' una menata indicibile. Ogni volta che devo andare sul conto corrente, mi tocca cambiare 2 password e 1 pin. Ogni tot giorni il sito dell'agenzia delle entrate mi obbliga a cambiare password. Il sito dell'inps genera una nuova password in automatico ogni tot giorni. Idem per altri servizi che utilizzo per lavoro... dal punto di vista della produttività è un rallentamento continuo, una perdita di tempo e il rischio di sbagliare qualcosa in fase di inserimento/memorizzazione delle password, con impossibilità di utilizzo del servizio e menate ulteriori per recuperare l'accesso. Moltiplicato per tutti gli utenti di un'azienda, sia essa micro, piccola o media, diventa un costo non da poco.

Quote:

Originariamente inviato da Cfranco

Finalmente qualcuno dice chiaramente che forzare la gente a cambiare password ogni pochi giorni è solo una rottura di scatole e non aumenta la sicurezza, anzi siccome ogni mese la devi reimparare :
1 - te la scriverai su qualche foglio di carta appiccicato al monitor
2 - la sceglierai facile da ricordare e cambierai soltanto l' ultima cifra

Concordo

[Apix_1024]

piano piano la si capirà che poi alla fine l'utente medio gira continuamente le 4/5 pass tra i vari siti e bona.
se si imponesse di fare pass alfanumeriche con caratteri speciali, maiuscole, minuscole e punteggiature da più di 10 caratteri vedi che son sicure come cambiarla una volta al mese!

[kamon]

Quote:

Originariamente inviato da Beelzebub

E' una menata indicibile. Ogni volta che devo andare sul conto corrente, mi tocca cambiare 2 password e 1 pin. Ogni tot giorni il sito dell'agenzia delle entrate mi obbliga a cambiare password. Il sito dell'inps genera una nuova password in automatico ogni tot giorni. Idem per altri servizi che utilizzo per lavoro... dal punto di vista della produttività è un rallentamento continuo, una perdita di tempo e il rischio di sbagliare qualcosa in fase di inserimento/memorizzazione delle password, con impossibilità di utilizzo del servizio e menate ulteriori per recuperare l'accesso. Moltiplicato per tutti gli utenti di un'azienda, sia essa micro, piccola o media, diventa un costo non da poco.

Quote:

Originariamente inviato da Cfranco

Finalmente qualcuno dice chiaramente che forzare la gente a cambiare password ogni pochi giorni è solo una rottura di scatole e non aumenta la sicurezza, anzi siccome ogni mese la devi reimparare :
1 - te la scriverai su qualche foglio di carta appiccicato al monitor
2 - la sceglierai facile da ricordare e cambierai soltanto l' ultima cifra

Quotone formato famiglia, armato, agguerrito e pure abbronzato...

[Madcrix]

Sempre sostenuto che è ridicolo cambiare spesso password, spinge solo gli utenti ad usare password facili con variazioni minime ad ogni giro. Dovendo gestire in ufficio solo per uso personale qualcosa come 15 password posso assicurare che sono praticamente tutte variazioni minime della stessa e che molte sono assolutamente la stessa. E come me, tutti.
Invece di cambiare ogni 60 giorni, basterebbe impostarne una solida solida e non cambiarla quasi mai, al max una volta all'anno, la sicurezza ne guadagnerebbe.

[pingalep]

ebay mi rifuta la password complessa(15 caratteri, lettere e numeri, punteggiatura caratt. speciali maiuscole). che so essere esatta. faccio la procedura per cambiarla. metto la stessa. ebay mi dice: la nuova password non può essere identica alla vecchia.

FUUUUUUUUUUUUUUUUUU...

è la terza volta che mi capita

[Pier2204]

Quote:

Originariamente inviato da TRKChromium

Per i servizi online invece sarebbe meglio usare una password diversa per ogni sito invece che cambiarla ogni tot utilizzandone una uguale per tutti

Password diversa che ho visto memorizzare con uno stick incollato all'interno di un portafoglio di un collega ..tipo, prego si accomodi

se si parla di servizi bancari, quindi altamente critici, penso è sufficente nome utente e o-key con password dinamiche, altri servizi invece serve una password robusta, cambiarla ogni mese è una disgrazia...

[smartiz]

Sono assolutamente d'accordo, pw pesante ma da cambiare max una volta l'anno.

[Bestio]

Proprio le PW andrebbero eliminate... basterebbe un lettore di impronte digitali, o autenticatori traimite smartphone.
Anche io tutte le volte che accedo ad un servizio a cui non accedo da un po di tempo abitualmente mi sono dimenticato la PW e devo ricorrere al sistema di recupero.

[homero]

Cambiare le password di frequente non aumenta la sicurezza inoltre molti la scrivono da qualche parte perché non è facile da ricordare in aggiunta la differenza tra lettere maiuscole e minuscole numeri caratteri speciali insomma impossibile da ricordare specialmente oggi che ogni servizio vuole la sua password
Tenete presente che le carte di credito non hanno password e forse sono le uniche a dover essere protette magari con codice inviato sul cellulare ma questa è un'altra storia

[azi_muth]

Quote:

Originariamente inviato da Bestio

Proprio le PW andrebbero eliminate... basterebbe un lettore di impronte digitali, o autenticatori traimite smartphone.
Anche io tutte le volte che accedo ad un servizio a cui non accedo da un po di tempo abitualmente mi sono dimenticato la PW e devo ricorrere al sistema di recupero.

Ma l'autenticazione biometrica ha un grosso limite: non la puoi cambiare se viene compromessa.

[Emin001]

Io faccio amole(psw) lungo lungo..... anche con pleselvativo(server) bucato!

[demon77]

Quote:

Originariamente inviato da TRKChromium

Per i servizi online invece sarebbe meglio usare una password diversa per ogni sito invece che cambiarla ogni tot utilizzandone una uguale per tutti

E' vero ma ti tiri scemo dopo un po'..
Io ho impostato una pseudo regola personale:

siti del caxxo tipo store on line: password pacco sempre quella
siti tipo amazon o ebay o paypal: password a parte, usata solo per quello
banca: password di lettere e numeri totalmente casuali tipo "hkwjmw34348"
perchè tanto devi cambiarla ogni tot, deve essere ben sicura e comunque sia non me la ricorderò mai. La tengo slavata sul file delle password criptato sul pc.

[demon77]

Quote:

Originariamente inviato da Emin001

Io faccio amole(psw) lungo lungo..... anche con pleselvativo(server) bucato!

Viene amole viene!
Faciamo masagio lomantico con amica, quattlo mani tuto belo, viene! Eppiendin!

[LMCH]

Quote:

Originariamente inviato da Apix_1024

se si imponesse di fare pass alfanumeriche con caratteri speciali, maiuscole, minuscole e punteggiature da più di 10 caratteri vedi che son sicure come cambiarla una volta al mese!

No, vanno bene anche passoword tutte con minuscole, basta che non siano troppo ovvie e siano sufficientemente lunghe.
PERMETTERE l'uso di caratteri numerici, punteggiatura e speciali è una buona cosa
OBBLIGARE all'uso di quei caratteri e per forza di maiuscole e minuscole invece è pessimo perche incentiva a scriversi la password in un posto facilmente accessibile e/o ad usare password molto brevi "perchè tanto sono complicate".

Semmai tornerebbe utile un check su un dizionario di "password facili" in modo da evitare quelle più ovvie usate negli attacchi a forza bruta ( morte a "1234" ).

Io uso password diverse per ogni sito e login associando frasi idiote, sgrammaticate e con uso di numeri e caratteri speciali ecc. con notazione a cammello (maiuscole come separatori di parole), l'importante è che siano così stupide e personali da essere facili da ricordare anche se lunghe.

[LASCO]

Bah, un periodo quando lavoravo in un centro in cui la sicurezza era molto importante, quando toccava cambiare password mica si poteva cambiare uno o due caratteri e farla simile alla vecchia! Ovviamente avevano diversi criteri per evitare questi problemi (mi sembra strano che altri centri in cui la sicurezza è importante non lo facciano). Poi c'erano altre password, dati vari ed un token per poter accedere.
Ovviamente era una scocciatura quando toccava cambiare quelle 4-5 password!