Microsoft: cambiare password con frequenza è una richiesta 'arcaica e obsoleta'

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sistem...eta_82696.html

Microsoft cambia policy di sicurezza con Windows 10 v1903 e Windows Server v1903. Dalle nuove versioni, infatti, fra le linee guida sulla sicurezza è scomparsa la richiesta di cambio password periodicamente

Click sul link per visualizzare la notizia.

[sk0rpi0n]

Perfetto, peccato che poi il GDPR invece imponga il cambio password periodico tra le misure di sicurezza; mi chiedo se Microsoft prima di spararla così grossa abbia dato un occhio alle recenti normative sul trattamento dati/privacy... =/

[giovanni69]

E' il classico articolo che cerca di fuorviare le necessità di cambiare la password per poi sensibilizzare all'autenticazione a due fattori...

... che ovviamente costringerà l'utente a cedere altri dati personali, facendo credere che per maggiore sicurezza sia necessario far abbassare le barriere della privacy e dunque ecco: numeri di telefono, dati biometrici e così via che verranno richiesti per completare il profilo dell'utente nella massa di dati che entrano nei loro big data.

[nickname88]

Il cambio psw in ottica aziendale è un problema solo per assenza di conseguenze e per svogliatezza della maggior parte degli utenti.

Basterebbe imporre al dipendente di ricordarsi la psw e di rendere la dimenticanza di quest'ultima motivo di licenziamento immediato ed unilaterale ed il problema svanirebbe.

[coschizza]

Quote:

Originariamente inviato da sk0rpi0n

Perfetto, peccato che poi il GDPR invece imponga il cambio password periodico tra le misure di sicurezza; mi chiedo se Microsoft prima di spararla così grossa abbia dato un occhio alle recenti normative sul trattamento dati/privacy... =/

Cosa c’entra il gdpr con quello che dice la Microsoft ? Nulla
Microsoft ha collaborato con documentazione technet molto precisa è diffusa a creare tutta una serie di pollici per rendere tutti i loro software comliant , mi chiedo se prima di parlare tu ti sia documentato a sufficienza invece che sparare sul primo che passa.

[coschizza]

Quote:

Originariamente inviato da nickname88

Il cambio psw in ottica aziendale è un problema solo per assenza di conseguenze e per svogliatezza della maggior parte degli utenti.

Basterebbe imporre al dipendente di ricordarsi la psw e di rendere la dimenticanza di quest'ultima motivo di licenziamento immediato ed unilaterale ed il problema svanirebbe.

Da noi funziona così ma se la dimenticano comunque è la danno ad altri utenti anche se poi possono essere oltre che licenziati anche pagare una grossa multa. Eppure lo fanno comunque non è un deterrente.

[Gnubbolo]

la migliore password è aprire una pagina di un libro e scegliere una frase a caso a caso e concatenare le parole es: oltreche_licenziatianche$pagare
le librerie non sono fatte per affrontare queste cose, per ora.
vi scrivete dentro l'anta di un armadio il num. di pag. del libro da qualche e siete a posto. se siete proprio babbi niente foglietti che si perdono, incidetelo con un punteruolo :/

[floc]

Quote:

Originariamente inviato da coschizza

Cosa c’entra il gdpr con quello che dice la Microsoft ? Nulla
Microsoft ha collaborato con documentazione technet molto precisa è diffusa a creare tutta una serie di pollici per rendere tutti i loro software comliant , mi chiedo se prima di parlare tu ti sia documentato a sufficienza invece che sparare sul primo che passa.

il gdpr c'entra con tutti noi europei, e anche con microsoft quando fornisce servizi a cittadini europei. Quindi quello che giustamente faceva notare sk0rpi0n è che finchè continuerà a "prestare servizi della società dell'informazione" questa nuova buona prassi che si sono inventati (e che francamente potrei anche condividere) cozza con una delle normative alle quali loro stessi e tutte le aziende alle quali rivendono servizi nel nostro continente devono sottostare.

[coschizza]

Quote:

Originariamente inviato da Gnubbolo

la migliore password è aprire una pagina di un libro e scegliere una frase a caso a caso e concatenare le parole es: oltreche_licenziatianche$pagare
le librerie non sono fatte per affrontare queste cose, per ora.
vi scrivete dentro l'anta di un armadio il num. di pag. del libro da qualche e siete a posto. se siete proprio babbi niente foglietti che si perdono, incidetelo con un punteruolo :/

Nel nostro ultimo audit interno abbiamo visto che password come quella le troviamo in poche ore di attacco mirato tramite gpu, ti sorprenderesti a vedere che evoluzione ha raggiunto le analisi sulle password combinando attacchi da dizionario brute force e tramite pattern. L’unica password che non beccherai mai è quella che ha al suo interno uno spazio perché per ora i vari software di cracking non lo contemplano nei caratteri standard e nemmeno estesi.

[mattego]

Quote:

Originariamente inviato da sk0rpi0n

Perfetto, peccato che poi il GDPR invece imponga il cambio password periodico tra le misure di sicurezza; mi chiedo se Microsoft prima di spararla così grossa abbia dato un occhio alle recenti normative sul trattamento dati/privacy... =/

Scusa, mi dici dove il GDPR ti impone il cambio password periodico?L'articolo 32 - Sicurezza del trattamento parla di misure adeguate in modo generico. non è richiesto esplicitamente il cambio periodico della password.

[coschizza]

Quote:

Originariamente inviato da mattego

Scusa, mi dici dove il GDPR ti impone il cambio password periodico?L'articolo 32 - Sicurezza del trattamento parla di misure adeguate in modo generico. non è richiesto esplicitamente il cambio periodico della password.

difatti non lo dice ma è facile citare senza sapere. In realta a dare quella indicazione è l'agid non il gdpr che tratta di ben altre cose.

[zappy]

Quote:

Originariamente inviato da coschizza

Nel nostro ultimo audit interno abbiamo visto che password come quella le troviamo in poche ore di attacco mirato tramite gpu, ti sorprenderesti a vedere che evoluzione ha raggiunto le analisi sulle password combinando attacchi da dizionario brute force e tramite pattern.

cioè provate con tutte le frasi di tutti i libri esistenti, concatenate con qualunque lunghezza?!?
cmq concordo con MS: s'ata cosa di dover cambiare pass ogni 3x2, con le decine di account che si hanno, comporta:
- l'uso sempre della stessa psw
- variazioni minime fra un cambio e l'altro
- foglietti ovunque.

[zappy]

Quote:

Originariamente inviato da nickname88

Il cambio psw in ottica aziendale è un problema solo per assenza di conseguenze e per svogliatezza della maggior parte degli utenti.

Basterebbe imporre al dipendente di ricordarsi la psw e di rendere la dimenticanza di quest'ultima motivo di licenziamento immediato ed unilaterale ed il problema svanirebbe.

dovrebbe essere imposto il licenziamento, la castrazione chimica e la privazione del sonno anche a chi dice cazzate.

[cignox1]

--Basterebbe imporre al dipendente di ricordarsi la psw e di rendere la dimenticanza di quest'ultima motivo di licenziamento immediato ed unilaterale ed il problema svanirebbe.

E allora si che, finalmente, vivremmo tutti in un mondo migliore!

[nickname88]

Quote:

Originariamente inviato da zappy

dovrebbe essere imposto il licenziamento, la castrazione chimica e la privazione del sonno anche a chi dice cazzate.

Quindi ti proponi come primo soggetto per l'inaugurazione della procedura, perfetto.

Se non sei in grado di memorizzarti o appuntarti una cavolo di parola o hai qualche limite neurologico o dovremmo usare altri termini, scegli tu.

[zappy]

Quote:

Originariamente inviato da nickname88

Quindi ti proponi come primo soggetto per l'inaugurazione della procedura, perfetto.

Se non sei in grado di memorizzarti o appuntarti una cavolo di parola o hai qualche limite neurologico o dovremmo usare altri termini, scegli tu.

se non capisci il mio post, il limite è tuo...

[Zurlo]

Biometria e doppia validazione ... e via le password.

Quanti sistemi ancora sono limitati a 11 caratteri o meno, e non accettano segni di interpunzione o spazi? una marea infinita.

Per costruire una buona passphrase basta nominare in elenco degli oggeti che abbiamo davanti, tipo "portaspecchiomonitormonitormonitorlibreria" ... craccamela va, ed e' anche facile da ricordare, almeno fino al passaggio alla biometria + doppia validazione.

[Saturn]

Quote:

Originariamente inviato da Zurlo

Biometria e doppia validazione ... e via le password.

Quanti sistemi ancora sono limitati a 11 caratteri o meno, e non accettano segni di interpunzione o spazi? una marea infinita.

Per costruire una buona passphrase basta nominare in elenco degli oggeti che abbiamo davanti, tipo "portaspecchiomonitormonitormonitorlibreria" ... craccamela va, ed e' anche facile da ricordare, almeno fino al passaggio alla biometria + doppia validazione.

Carina ma mi sentirei più sicuro con una password tipo: ~zKRIu6783!!Pdc§§zerpU^_732!?_c

É pure più facile da ricordare...

[Zurlo]

https://xkcd.com/936/

This say all

[Zurlo]

E questa e' la confutazione ... lol
https://diogomonica.com/2014/10/11/password-security-why-the-horse-battery-staple-is-not-correct/