Microsoft: cambiare password con frequenza è una richiesta 'arcaica e obsoleta'

Microsoft: cambiare password con frequenza è una richiesta 'arcaica e obsoleta'

Microsoft cambia policy di sicurezza con Windows 10 v1903 e Windows Server v1903. Dalle nuove versioni, infatti, fra le linee guida sulla sicurezza è scomparsa la richiesta di cambio password periodicamente

di pubblicata il , alle 20:01 nel canale Sistemi Operativi
MicrosoftWindows
 

I cambiamenti periodici delle password possono causare più danni che benefici. A dirlo è stata Microsoft all'interno di un post pubblicato alla fine di maggio e tornato in auge in queste ore grazie ad alcuni siti specializzati americani, in cui si legge che il requisito è in realtà solo una forma di "mitigazione di scarso valore, arcaica e obsoleta". Si tratta, però, di una prassi che la stessa Microsoft ha continuato a consigliare per decenni interi.

Nel post Microsoft ha dichiarato che con May 2019 Update ha rimosso il cambio password dai requisiti basilari di sicurezza. Il motivo del cambio di prospettiva sull'argomento è che nel corso del tempo è stato ampiamente dimostrato che le password più facili da "crackare" sono quelle semplici da ricordare, come ad esempio nomi o citazioni di frasi di film o libri. Gli aggressori spesso utilizzano dizionari di milioni di parole che vengono dati in pasto a GPU ottimizzate per lo scopo di "indovinare" le possibili password per tentativi, partendo da eventuali hash rubati, se presenti, che rappresentano le password in chiaro.

Non basta, inoltre, neanche scambiare le lettere con numeri analoghi (le "o" con 0, ad esempio, o le "i" con 1), visto che è semplicissimo creare delle "regole" per modificare in maniera semplice le parole tradizionali con i numeri. Ad oggi le password considerate più sicure sono quelle che contengono almeno 11 caratteri, meglio se scelti casualmente fra lettere maiuscole e minuscole, simboli e numeri. Gli stessi esperti di sicurezza hanno sottolineato che cambiare password periodicamente può essere più deleterio che altro visto che spinge gli utenti a scegliere di volta in volta password più deboli.

Varie aziende hanno però, negli anni, continuato a consigliare il cambio periodico della password, e fra queste anche Microsoft. Nel suo post, però, l'azienda fa adesso notare che "la scadenza della password periodica è una difesa solo contro la probabilità che una password (o un hash) venga rubata durante il suo intervallo di validità e verrà utilizzata da utenti non autorizzati. Se una password non viene mai rubata non è necessario sostituirla". E, se consideriamo che la scedenza della password su Windows è adesso configurata a 42 giorni, si capisce bene quanto questa pratica sia inutile nel caso in cui sia stata rubata.

I cambiamenti non riguardano, comunque, le richieste di lunghezza, cronologia e complessità della password, con l'azienda che continuerà a consigliare l'autenticazione a più fattori anche nel caso di password estremamente complesse e considerate sicure.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

32 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
sk0rpi0n04 Giugno 2019, 22:03 #1
Perfetto, peccato che poi il GDPR invece imponga il cambio password periodico tra le misure di sicurezza; mi chiedo se Microsoft prima di spararla così grossa abbia dato un occhio alle recenti normative sul trattamento dati/privacy... =/
giovanni6904 Giugno 2019, 22:20 #2
E' il classico articolo che cerca di fuorviare le necessità di cambiare la password per poi sensibilizzare all'autenticazione a due fattori...

... che ovviamente costringerà l'utente a cedere altri dati personali, facendo credere che per maggiore sicurezza sia necessario far abbassare le barriere della privacy e dunque ecco: numeri di telefono, dati biometrici e così via che verranno richiesti per completare il profilo dell'utente nella massa di dati che entrano nei loro big data.
nickname8804 Giugno 2019, 22:39 #3
Il cambio psw in ottica aziendale è un problema solo per assenza di conseguenze e per svogliatezza della maggior parte degli utenti.

Basterebbe imporre al dipendente di ricordarsi la psw e di rendere la dimenticanza di quest'ultima motivo di licenziamento immediato ed unilaterale ed il problema svanirebbe.
coschizza04 Giugno 2019, 23:25 #4
Originariamente inviato da: sk0rpi0n
Perfetto, peccato che poi il GDPR invece imponga il cambio password periodico tra le misure di sicurezza; mi chiedo se Microsoft prima di spararla così grossa abbia dato un occhio alle recenti normative sul trattamento dati/privacy... =/


Cosa c’entra il gdpr con quello che dice la Microsoft ? Nulla
Microsoft ha collaborato con documentazione technet molto precisa è diffusa a creare tutta una serie di pollici per rendere tutti i loro software comliant , mi chiedo se prima di parlare tu ti sia documentato a sufficienza invece che sparare sul primo che passa.
coschizza04 Giugno 2019, 23:29 #5
Originariamente inviato da: nickname88
Il cambio psw in ottica aziendale è un problema solo per assenza di conseguenze e per svogliatezza della maggior parte degli utenti.

Basterebbe imporre al dipendente di ricordarsi la psw e di rendere la dimenticanza di quest'ultima motivo di licenziamento immediato ed unilaterale ed il problema svanirebbe.


Da noi funziona così ma se la dimenticano comunque è la danno ad altri utenti anche se poi possono essere oltre che licenziati anche pagare una grossa multa. Eppure lo fanno comunque non è un deterrente.
Gnubbolo04 Giugno 2019, 23:44 #6
la migliore password è aprire una pagina di un libro e scegliere una frase a caso a caso e concatenare le parole es: oltreche_licenziatianche$pagare
le librerie non sono fatte per affrontare queste cose, per ora.
vi scrivete dentro l'anta di un armadio il num. di pag. del libro da qualche e siete a posto. se siete proprio babbi niente foglietti che si perdono, incidetelo con un punteruolo :/
floc05 Giugno 2019, 00:38 #7
Originariamente inviato da: coschizza
Cosa c’entra il gdpr con quello che dice la Microsoft ? Nulla
Microsoft ha collaborato con documentazione technet molto precisa è diffusa a creare tutta una serie di pollici per rendere tutti i loro software comliant , mi chiedo se prima di parlare tu ti sia documentato a sufficienza invece che sparare sul primo che passa.


il gdpr c'entra con tutti noi europei, e anche con microsoft quando fornisce servizi a cittadini europei. Quindi quello che giustamente faceva notare sk0rpi0n è che finchè continuerà a "prestare servizi della società dell'informazione" questa nuova buona prassi che si sono inventati (e che francamente potrei anche condividere) cozza con una delle normative alle quali loro stessi e tutte le aziende alle quali rivendono servizi nel nostro continente devono sottostare.
coschizza05 Giugno 2019, 07:26 #8
Originariamente inviato da: Gnubbolo
la migliore password è aprire una pagina di un libro e scegliere una frase a caso a caso e concatenare le parole es: oltreche_licenziatianche$pagare
le librerie non sono fatte per affrontare queste cose, per ora.
vi scrivete dentro l'anta di un armadio il num. di pag. del libro da qualche e siete a posto. se siete proprio babbi niente foglietti che si perdono, incidetelo con un punteruolo :/

Nel nostro ultimo audit interno abbiamo visto che password come quella le troviamo in poche ore di attacco mirato tramite gpu, ti sorprenderesti a vedere che evoluzione ha raggiunto le analisi sulle password combinando attacchi da dizionario brute force e tramite pattern. L’unica password che non beccherai mai è quella che ha al suo interno uno spazio perché per ora i vari software di cracking non lo contemplano nei caratteri standard e nemmeno estesi.
mattego05 Giugno 2019, 09:11 #9
Originariamente inviato da: sk0rpi0n
Perfetto, peccato che poi il GDPR invece imponga il cambio password periodico tra le misure di sicurezza; mi chiedo se Microsoft prima di spararla così grossa abbia dato un occhio alle recenti normative sul trattamento dati/privacy... =/


Scusa, mi dici dove il GDPR ti impone il cambio password periodico?L'articolo 32 - Sicurezza del trattamento parla di misure adeguate in modo generico. non è richiesto esplicitamente il cambio periodico della password.
coschizza05 Giugno 2019, 09:15 #10
Originariamente inviato da: mattego
Scusa, mi dici dove il GDPR ti impone il cambio password periodico?L'articolo 32 - Sicurezza del trattamento parla di misure adeguate in modo generico. non è richiesto esplicitamente il cambio periodico della password.


difatti non lo dice ma è facile citare senza sapere. In realta a dare quella indicazione è l'agid non il gdpr che tratta di ben altre cose.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^