Password, l'obbligo di cambiarle è spesso controproducente

Le politiche di sicurezza che impongono il cambiamento delle password per periodi di tempo prefissati non sono utili a mantenere alta la guardia e, anzi, potrebbero essere dannose. E' l'opinione del Chief Technologist della Federal Trade Commission americana
di Andrea Bai pubblicata il 03 Agosto 2016, alle 16:01 nel canale SicurezzaEssere obbligati a cambiare spesso le proprie password non solo non migliora il livello di sicurezza ma, anzi, lo può peggiorare. Un'opinione abbastanza curiosa, che va in netta controtendenza a quelli che sono gli abituali "consigli della nonna" in tema di sicurezza informatica e alle pratiche più comuni adottate in moltissime aziende e organizzazioni amministrative.
Ancor più curioso il fatto che questa opinione sia quella di Lorrie Cranon, chief technologist presso la Federal Trade Commission statunitense, cioè l'agenzia che si occupa di monitorare e garantire il rispetto delle regole sul mercato USA. Una realtà per la quale la sicurezza delle informazioni è sicuramente tra i primissimi posti della scala delle priorità.
Encourage your loved ones to change passwords often, making them long, strong, and unique. More tips: https://t.co/VhTCLCdf9j. #ChatSTC
— FTC (@FTC) 27 gennaio 2016
Ars Technica racconta che tutto nasce da un tweet diffuso poco dopo la nomina di Cranon a Chief Technologist, nel quale l'FTC si rivolgeva al pubblico: "Incoraggiate i vostri cari a cambiare spesso la password, componendone una che sia lunga, robusta e unica".
Cranor, in precedenza docente presso la Carneige Mellon University, ha raccontato in occasione del BSides di Las Vegas: "Ho visto questo tweet e mi sono chiesta - Perché l'FTC dice a tutti di cambiare la password? - Mi sono recata dalle persone che si occupano della gestione dei social media e ho girato loro la domanda, i quali mi hanno risposto: dovrebbe essere una buona pratica perché qui all'FTC cambiamo password ogni 60 giorni". Il principio di fondo è che la rete di un'organizzazione (di qualsiasi tipo: azienda, ente, agenzia, accademia e via discorrendo) può avere attaccanti al suo interno che ancora non sono stati individuati e che possono essere messi fuori gioco da un frequente cambio di password.
Di diverso avviso, tuttavia, è Cranor che basa la propria opinione su una serie di ricerche condotte di recenti le quali mettono in luce come le pratiche di cambio obbligatorio delle password sono più dannose che utili. La Chief Technologist dell'FTC ha quindi deciso di confrontarsi con il Chief Technology Officer e il Chief Information Security Officer proprio su questo aspetto, mostrando loro uno studio pubblicato nel 2010 dai ricercatori dell'University of Carolina at Chapel Hill.
I ricercatori hanno recuperato gli hash crittografici di circa 8 mila account scaduti che in precedenza appartenevano ad impiegati dell'università, studenti o insegnanti e ai quali è stato imposto di cambiare le proprie password ogni tre mesi. I dati ottenuti dai ricercatori comprendevano non solo l'ultima password usata ma anche quelle cambiate nel corso del tempo. Lo studio di questa miniera di informazioni ha permesso di identificare una serie di tecniche abbastanza comuni che i titolari di un account mettono in pratica quando si trovano a dover cambiare password a cadenze prefissate.
Una password come ciaomamma#1 diventa frequentemente cIaomamma#1 dopo il primo cambio, ciAomamma#1 dopo il secondo cambio e via discorrendo, oppure ciaomamma#11 al primo cambio e ciaomamma#111 al secondo cambio, oppure ancora ciaomamma#2, ciaomamma#3 e così via. "I ricercatori UNC hanno osservato che se le persone devono cambiare password ogni 90 giorni tendono ad usare uno schema prefissato e fanno ciò che si chiama trasformazione: prendono la vecchia password, ne cambiano qualche elemento, e ottengono la nuova password" ha sottolineato Cranor.
Quando si è obbligati a cambiare password con frequenza, si usano schemi di trasformazione facili da individuare.
Quanto individuato è stato utilizzato dai ricercatori per sviluppare una serie di algoritmi capaci di indovinare i cambiamenti con un elevato grado di accuratezza, mettendoli alla prova in una simulazione real-world per verificare la loro efficacia. Nel caso di attacchi online, dove la tecnica è quella di compiere un elevato numero di tentativi per indovinare una password prima che la rete presa a bersaglio metta fuori gioco gli attaccanti, l'algoritmo ha violato il 17% degli account presi di mira in meno di cinque tentativi. In una simulazione offline compiuta sugli hash recuperati in precedenza e usando sistemi di calcolo ad elevate prestazioni, il 41% delle password cambiate è stato violato entro tre secondi.
A corollario di ciò un altro studio, questa volta ad opera dei ricercatori della Carlton University, ha offerto una dimostrazione matematica di come frequenti cambi di password vadano ad ostacolare solo minimamente gli attaccanti e comunque non in maniera tale da compensare le noie dell'utente finale nel dover ottemperare all'obbligo. Nel corso degli anni anche altre realtà come il National Institute of Standard and Technology statunitense e l'agenzia governativa britannica CESG hanno preso atto di come i cambi di password obbligatori siano inefficaci e controproducenti. E ora, sulla spinta della posizione di Cranor, anche l'FTC sta iniziando ad essere dello stesso avviso.
"Sono contenta che per due delle mie sei password governative non vi sono più obblighi di variazione prefissati. Stiamo ancora lavorando al resto" ha affermato Cranor.
46 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info1 - te la scriverai su qualche foglio di carta appiccicato al monitor
2 - la sceglierai facile da ricordare e cambierai soltanto l' ultima cifra
COME NON QUOTARE.
In realtà questo cambio di password obbligatorio genera spesso un gran casino, oltre che possibili problemi come citato.
Oltretutto uno deve costantemente tenere aggiornato il book delle password rischiando di sbagliare.
Sono criteri che andrebbero certamente rivisti:
Password più lunghe ed alfanumeriche (es. 12 caratteri minimo) e richiesta di cambio pesantemente diradata. Tipo una volta all'anno.
1 - te la scriverai su qualche foglio di carta appiccicato al monitor
2 - la sceglierai facile da ricordare e cambierai soltanto l' ultima cifra
Concordo
se si imponesse di fare pass alfanumeriche con caratteri speciali, maiuscole, minuscole e punteggiature da più di 10 caratteri vedi che son sicure come cambiarla una volta al mese!
1 - te la scriverai su qualche foglio di carta appiccicato al monitor
2 - la sceglierai facile da ricordare e cambierai soltanto l' ultima cifra
Quotone formato famiglia, armato, agguerrito e pure abbronzato...
Invece di cambiare ogni 60 giorni, basterebbe impostarne una solida solida e non cambiarla quasi mai, al max una volta all'anno, la sicurezza ne guadagnerebbe.
FUUUUUUUUUUUUUUUUUU...
è la terza volta che mi capita
Password diversa che ho visto memorizzare con uno stick incollato all'interno di un portafoglio di un collega
se si parla di servizi bancari, quindi altamente critici, penso è sufficente nome utente e o-key con password dinamiche, altri servizi invece serve una password robusta, cambiarla ogni mese è una disgrazia...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".