Certamente. Ecco un articolo dettagliato basato sul blog post del National Cyber Security Centre del Regno Unito (NCSC) “I problemi con la forzatura della scadenza periodica delle password”, insieme ad informazioni correlate per ampliare la comprensione dell’argomento:
I problemi con la forzatura della scadenza periodica delle password
Per anni, è stata una pratica standard di sicurezza in molte organizzazioni: richiedere agli utenti di cambiare le loro password a intervalli regolari, spesso ogni 30, 60 o 90 giorni. L’idea alla base di questa politica era che la scadenza periodica delle password aiutasse a proteggere da violazioni della sicurezza, costringendo gli utenti a creare nuove password che non erano state compromesse da violazioni di dati o altre vulnerabilità.
Tuttavia, il National Cyber Security Centre (NCSC) del Regno Unito, insieme ad altri esperti di sicurezza, sta ora mettendo in discussione l’efficacia di questa pratica. Nel loro blog post “I problemi con la forzatura della scadenza periodica delle password”, il NCSC evidenzia diversi svantaggi chiave di questa politica:
-
Password più deboli: quando gli utenti sono costretti a cambiare frequentemente le loro password, spesso ricorrono a password facili da ricordare o a modifiche minori alle loro password esistenti. Ad esempio, potrebbero semplicemente incrementare un numero alla fine della loro password corrente (Password1, Password2, Password3). Ciò rende prevedibili e più facili da indovinare le password e, in ultima analisi, indebolisce la sicurezza complessiva.
-
Fatica da password: la necessità di ricordare e gestire password che cambiano frequentemente può portare alla “fatica da password”. Gli utenti possono diventare frustrati e disimpegnati dalle pratiche di sicurezza, il che li porta a scegliere password più deboli, a riutilizzare password su più account o a scriverle in luoghi non sicuri.
-
Aumento del rischio di help desk: le password scadute portano spesso a un aumento delle chiamate di supporto all’help desk, poiché gli utenti dimenticano le loro nuove password o hanno difficoltà a reimpostarle. Ciò può mettere a dura prova le risorse dell’help desk e aumentare il costo complessivo della sicurezza.
-
Protezione limitata contro le minacce: la scadenza periodica delle password non protegge da molti dei tipi più comuni di minacce alla sicurezza, come attacchi di phishing, keylogger e violazioni di dati. Se la password di un utente viene compromessa tramite uno di questi metodi, la scadenza di routine non impedirà a un aggressore di utilizzarla prima che venga modificata.
Quindi, qual è la soluzione?
Il NCSC e altri esperti di sicurezza raccomandano un approccio più incentrato al rilevamento e alla risposta alle minacce, piuttosto che fare affidamento sulla scadenza periodica delle password. Ecco alcune alternative più efficaci:
-
Password forti: incoraggiare gli utenti a creare password lunghe, complesse e uniche. Consiglia di utilizzare gestori di password per generare e archiviare in modo sicuro password complesse per tutti i propri account. Le frasi password, ovvero stringhe di parole casuali, possono anche essere più facili da ricordare rispetto a stringhe complesse di caratteri.
-
Autenticazione a più fattori (MFA): implementa l’MFA ogni volta che è possibile. L’MFA richiede agli utenti di fornire una seconda forma di identificazione, come un codice inviato al proprio telefono, oltre alla propria password. Ciò rende molto più difficile per gli aggressori accedere a un account, anche se sono riusciti a rubare la password.
-
Monitoraggio e rilevamento delle minacce: implementa sistemi che monitorano l’attività degli utenti e rilevano comportamenti sospetti. Ciò può includere il rilevamento di tentativi di accesso non riusciti, accessi da posizioni insolite o download di grandi quantità di dati.
-
Igiene delle password compromesse: implementare strumenti e processi che confrontano le password interne con i database pubblici di credenziali compromesse (come i database Have I Been Pwned). Ciò può identificare gli utenti che utilizzano password che sono state compromesse nelle violazioni di dati e chiedere loro di cambiarle immediatamente.
-
Formazione e consapevolezza degli utenti: educare gli utenti sulle best practice di sicurezza, come riconoscere attacchi di phishing, evitare di riutilizzare le password ed essere consapevoli dei rischi di condividere informazioni sensibili online.
Linee guida del NIST
Il National Institute of Standards and Technology (NIST) degli Stati Uniti ha anche aggiornato le proprie linee guida sulla gestione delle password. Le linee guida del NIST ora raccomandano di abbandonare la pratica della scadenza periodica delle password. Le linee guida del NIST sottolineano l’importanza di utilizzare password lunghe e complesse, autenticazione a più fattori e monitoraggio delle minacce.
Conclusione
La forzatura della scadenza periodica delle password è una pratica di sicurezza obsoleta e inefficace. Può portare a password più deboli, affaticamento da password e aumento dei costi dell’help desk, fornendo allo stesso tempo una protezione limitata contro le minacce. Concentrandosi su password forti, autenticazione a più fattori, monitoraggio delle minacce e formazione degli utenti, le organizzazioni possono migliorare significativamente la propria posizione di sicurezza senza gravare sugli utenti con la seccatura e l’inconveniente della scadenza periodica delle password. La modifica delle password deve essere attivata da un evento (ad esempio, prova che la password è stata compromessa) anziché essere pianificata regolarmente.
I problemi con la forzatura della scadenza della password normale
L’IA ha fornito le notizie.
La seguente domanda è stata utilizzata per ottenere la risposta da Google Gemini:
Alle 2025-03-13 11:50, ‘I problemi con la forzatura della scadenza della password normale’ è stato pubblicato secondo UK National Cyber Security Centre. Si prega di scrivere un articolo dettagliato con informazioni correlate in modo chiaro.
30