Le modifiche frequenti alle password sono effettivamente utili per la sicurezza?
Ogni quanto cambi la tua password Come cambiare la password su qualsiasi desktop o dispositivo mobile Come cambiare la password su qualsiasi desktop o dispositivo mobile La tua password è l'unica cosa che si frappone tra un estraneo e i tuoi dati più privati. Quando è stata l'ultima volta che hai aggiornato la password del tuo dispositivo? Ti mostriamo come cambiarlo adesso. Leggi di più ? Scommettiamo che alcune delle tue credenziali hanno più di un decennio.
In effetti, molti di noi cambiano le nostre password solo quando una situazione ci costringe a farlo. In genere, è quando non riesci a ricordarlo o in un'app o la tua azienda ti costringe a crearne uno nuovo ogni pochi mesi.
Quindi, quale approccio è giusto? Dovresti lasciare intatta la tua password per anni, o dovresti cambiarla tutte le volte che le stagioni? Ecco i pro e i contro della modifica della password troppo frequentemente.
Rende il tuo account (un piccolo bit) più sicuro
La saggezza generalmente ricevuta è che la modifica della password rende spesso il tuo account più sicuro. Il tuo account Yahoo Mail è sicuro? 10 modi per rimanere sicuri Il tuo account Yahoo Mail è sicuro? 10 modi per rimanere al sicuro Se sei un utente di Yahoo, dovresti assicurarti che il tuo account sia sicuro. Ecco 10 elementi da controllare per assicurarti che la sicurezza del tuo account sia in ordine. Leggi di più .
L'argomento suggerisce che se sei la vittima inconsapevole di una perdita Verifica ora e vedi se le tue password sono mai state trapelate Verifica ora e vedi se le tue password sono mai state trapelate Questo strumento ingegnoso ti permette di controllare qualsiasi password per vedere se è mai stata parte di una perdita di dati. Leggi di più, cambiare la tua password regolarmente può negare rapidamente i dettagli che un aspirante hacker ha sul file.
Allo stesso modo, se qualcuno non ha accesso alla tua password a tua insaputa, impedisce che la persona ti curi per un periodo prolungato. È per questo che i responsabili IT di tutto il paese sono così ossessionati dal fatto di imporre reimpostazioni forzate su di te ogni paio di settimane.
L'argomento è valido? Sì, ma non è così chiaro come ci si potrebbe aspettare. Anche supponendo che le tue nuove password siano forti come quelle precedenti (ne parleremo tra poco), la pratica ha un beneficio minimo.
In un articolo di Carleton University, i ricercatori hanno spiegato che gli aggressori che hanno accesso a un file di password con hash possono eseguire attacchi offline. Possono, quindi, testare un numero elevato di password in un breve lasso di tempo. Le password deboli e di media resistenza sono a rischio.
Il documento continua a dimostrare matematicamente che anche le frequenti modifiche alle password complesse hanno limitato gli attacchi a un livello trascurabile. Il vantaggio è quasi certamente non vale l'inconveniente che porta agli utenti.
Invece, il documento raccomanda agli amministratori di sistema di utilizzare le funzioni hash lente come bcrypt. Gli utenti non subirebbero alcun inconveniente e il processo rende più difficile agli hacker l'individuazione rapida di un numero elevato di password.
Probabilmente la tua nuova password è insicura
Sono sicuro che non hai bisogno di noi per dirti come creare una password sicura, ma vale sempre la pena ripetere l'informazione:
- La tua password dovrebbe usare un mix di lettere e numeri.
- Dovrebbe usare lettere maiuscole e minuscole.
- Idealmente, dovrebbe contenere caratteri speciali.
- Dovrebbe essere lungo più di 12 caratteri.
Questi quattro punti sono più facili a dirsi che a farsi. Creare password che soddisfino tutti i requisiti - e poi ricordarle - richiede molta energia mentale.
Quindi, cosa succede quando le persone cambiano le loro credenziali troppo frequentemente? In breve, diventano pigri.
Ho finito le idee per le password, quindi ho dovuto cambiare lavoro.
- Busty Rusty (@RaylaRimpson) 30 gennaio 2018
Ancora una volta, è un fenomeno scientificamente provato. Nel 2010, i ricercatori dell'Università del North Carolina hanno pubblicato un documento intitolato “La sicurezza della scadenza moderna delle password: una struttura algoritmica e un'analisi empirica.” In esso, hanno studiato le storie di password da account defunti all'università.
Lo studio ha esaminato oltre 10.000 vecchi account e 51.141 password. I ricercatori hanno eseguito un attacco di hash offline e alla fine hanno rotto il 60% delle credenziali. Dal 60 percento, 7.752 password non erano la password finale utilizzata nell'account.
Hanno quindi utilizzato quel set di dati per vedere se potevano estrapolare altre password connesse all'account. I risultati sono stati fantastici. Nel 17 percento dei casi, la prossima password utilizzata nell'account potrebbe essere indovinata in meno di cinque secondi.
Ma perché? Lo studio ha concluso che le persone tendevano a fare modifiche molto minori quando si cambia frequentemente una password. Per esempio, Sausage123 potrebbe diventare $ ausage123, hellocheese! potrebbe diventare hellocheese!!, e così via.
Quando dovresti cambiare la password?
All'inizio, ho scherzato sul fatto che probabilmente hai alcune password che si avvicinano al loro decimo compleanno. Ma è uno scherzo?
Le prove che abbiamo esaminato finora sembrano suggerire che le password di vecchia data potrebbero effettivamente essere una buona cosa. Qual è la verità? Hai solo bisogno di un po 'di buon senso.
Ovviamente, se sospetti che qualcuno stia accedendo al tuo account Come verificare se qualcun altro sta accedendo al tuo account Facebook Come verificare se qualcun altro sta accedendo al tuo account Facebook È sia sinistro che preoccupante se qualcuno ha accesso al tuo account Facebook a tua insaputa . Ecco come sapere se sei stato violato. Leggi di più senza la tua autorizzazione, dovresti cambiare la tua password. Se pensi che qualcuno stava guardando quando stavi inserendo le tue credenziali di online banking, dovresti cambiare la tua password. Se dovessi “prestito” la tua password a qualcuno, dovresti cambiarla.
E se pensi di essere casualmente vittima di una truffa di phishing, non essere una vittima di questi comuni attacchi di phishing non essere una vittima di questi attacchi di phishing comuni Leggi di più, dovresti cambiare la password.
In tutti i casi, è necessario assicurarsi che la nuova password non abbia alcuna somiglianza con quella precedente. Non usare la stessa parola chiave. Non mettere gli stessi personaggi speciali nelle stesse posizioni. E non provare qualcosa come scrivere la tua vecchia password all'indietro.
E ricorda, dovresti anche cambiare la tua password in tutti gli altri account con le credenziali simili. Ad esempio, se la password di Facebook è flowerpot1 e la password di Twitter è 1flowerpot, è necessario modificarli entrambi.
Se non sei sicuro, segui le quattro linee guida fondamentali di cui abbiamo parlato in precedenza quando crei una nuova password.
Cosa dire delle reimpostazioni della password forzata?
Ma per quanto riguarda la reimpostazione della password forzata? È una buona idea per un'app o il tuo datore di lavoro forzare una nuova password? Probabilmente no.
Nel 2009, l'Istituto nazionale degli standard e della tecnologia ha dichiarato che i cambiamenti regolari delle password erano “utile per ridurre l'impatto di alcuni compromessi con password,” ma lo erano “inefficace per gli altri.” E, naturalmente, gli utenti sono stati spesso lasciati frustrati dal cambiamento forzato. Le aziende devono raggiungere un compromesso tra sicurezza e usabilità.
La linea di fondo
Gli argomenti potrebbero sembrare complessi, ma sono facili da riassumere.
- Le modifiche frequenti alle password avviate dall'utente possono rendere gli utenti marginalmente più sicuri, a patto che la nuova password sia estremamente solida.
- Le modifiche frequenti alle password imposte spesso hanno un effetto negativo, con gli utenti che scelgono credenziali meno sicure.
Ora vogliamo ascoltare i tuoi pensieri sul dibattito. Sei sicuro della tua capacità di scegliere una password sicura su base regolare? O sei felice di usare una password vecchia di dieci anni su tutti i tuoi account?
Ricorda, se crei frequentemente nuove password complicate, usi un'app di gestione password come LastPass. Non è necessario richiamare le password da soli.
Scopri di più su: sicurezza online, password.