Uno degli aspetti che rende robuste le password è legato al loro periodico aggiornamento.
Tuttavia, non sempre si hanno idee chiare su quando e come effettuare efficacemente il cambio password.
In questo articolo cercheremo di entrare nel merito della questione, analizzando tempi, modalità e procedure per aggiornare in sicurezza i propri codici segreti.
- Aggiornamento periodico delle password: quali sono i vantaggi
- Perché è sconsigliato cambiare password troppo spesso
- Linee guida per un cambio password efficace e sicuro
- Quando cambiare password
- Consigli per impostare correttamente le nuove password
- Conclusioni
Aggiornamento periodico delle password: quali sono i vantaggi
L’aggiornamento periodico delle password presenta numerosi vantaggi che possono contribuire a mantenere un elevato livello di sicurezza online.
Di seguito, ne presentiamo alcuni tra i più rilevanti:
- Protezione contro violazioni dei dati: Le violazioni dei dati sono sempre più comuni e possono compromettere le informazioni personali e le credenziali di accesso. L’aggiornamento regolare delle password riduce il rischio che le credenziali siano utilizzate da terze parti non autorizzate.
- Prevenzione dell’accesso non autorizzato: Se qualcuno riesce a ottenere la tua password, potrebbe accedere ai tuoi account e ai tuoi dati sensibili. L’aggiornamento periodico delle password riduce la finestra di tempo in cui una password compromessa può essere utilizzata da un aggressore.
- Riduzione del rischio di accesso incrociato: Spesso le persone utilizzano la stessa password per più account online. Se un account viene violato e la password viene scoperta, l’aggiornamento delle password limita la probabilità che l’attaccante possa accedere ad altri account utilizzando le stesse credenziali.
- Adozione di password più sicure: L’aggiornamento periodico delle password offre l’opportunità di creare nuove password che rispettano gli standard di sicurezza moderni. Puoi adottare password più lunghe, complesse e uniche per rendere più difficile per gli aggressori indovinare o scoprire le tue credenziali.
- Conformità alle politiche aziendali: Se lavori in un’organizzazione o hai account professionali, potrebbe esserci una politica di aggiornamento periodico delle password. Seguire queste policy ti aiuta a rimanere in conformità con le linee guida aziendali e a mantenere un ambiente di lavoro sicuro.
Perché è sconsigliato cambiare password troppo spesso
Nel 2009 i ricercatori della University of North Carolina hanno sfruttato un database di credenziali obsolete, appartenenti a studenti di anni passati che ormai avevano concluso i rapporti con l’ateneo.
Le credenziali non erano più utilizzate da nessuno, ovviamente.
Il dataset era formato da hash di password, in sostanza delle versioni crittografate delle vere password (ironicamente, questa è una precauzione contro eventuali attacchi hacker…).
Per ogni nome utente si aveva a disposizione lo storico delle hash delle password utilizzate e modificate nel tempo. L’obiettivo dello studio era quello di analizzare il grado di similarità delle password nel tempo, per prendere appunti circa le abitudini informatiche delle persone.
È bene specificare, infine, che lo studio è stato portato avanti in modalità “offline”, operando cioè direttamente sui file a disposizione in locale, senza l’uso della rete. Questo è servito ad evitare di venire bloccati dai sistemi di sicurezza anti-bot.
Ciò simula chiaramente il comportamento di un attaccante che ha avuto accesso agli hash di un’azienda, magari a seguito di un leak o di un attacco andato a buon fine; in fase successiva, gli attaccanti bucano le password “offline”, in modo da avere a disposizione infiniti tentativi.
Tale attività consiste nel:
- produrre una stringa
- criptarla con varie funzioni di hash
- confrontarla con quelle presenti nella cosiddetta rainbow table
Ebbene, i risultati dello studio lasciano perplessi: per il 17% del campione (circa una persona su sei), conoscendo la password precedente è stato possibile indovinare la successiva nel giro di 5 tentativi, operando “a mano”, cioè delegando ad un operatore sia la formulazione che l’inserimento delle stringhe.
È risultato, altresì, che conoscendo la password precedente e avendo a disposizione la lista di hash successive, è possibile individuare la password giusta (operando offline) entro 3 secondi nel 41% dei casi. Essenzialmente è possibile individuare l’hash corretto entro 3 secondi modificando la password in chiaro (e automatizzando il processo con un calcolatore).
In effetti è un comportamento prevedibile: se un utente deve ricordare un gran numero di password, tenderà a mantenere un ordine mnemonico simile il più a lungo possibile. Dunque la password “nuova” non sarà nient’altro che una trasformazione della precedente, in una pericolosa esemplificazione del paradosso della “password” di Teseo.
Un esempio di trasformazione è la modifica delle vocali con numeri o segni caratteri speciali: “e” diventa “3”, “a” diventa “@” e così via. Ciò implica che è sorprendentemente facile per un attaccante avere successo nella violazione di un account se riesce ad intuire il pattern di trasformazioni adottate dalla vittima.
In sintesi, cambi di password dopo periodi relativamente brevi (esempio 3 mesi) portano gli utenti a produrre stringhe “semplici”e facilmente memorizzabili, che equivalgono a password deboli o troppo simili alle precedenti.
Linee guida per un cambio password efficace e sicuro
Il NIST (National Institute of Standards and Industrial Technology), partendo da questi studi, ha prodotto un lungo compendio nel quale sono anche inserite delle linee guida riassuntive su cambio e aggiornamento delle password.
Qui si può notare come vengano ribaditi alcuni concetti già evidenziati negli studi appena visti.
In breve, sarebbe opportuno:
- estendere il periodo di validità di una password, nel caso in cui le normative attuali impongano cambi troppo cadenzati
- aumentare la lunghezza delle password.
- implementate strumenti di sicurezza aggiuntivi, come la 2FA
Scendiamo quindi nel dettaglio, analizzando quando cambiare effettivamente password.
Quando cambiare password
Arriviamo, dunque, all’annosa questione: ogni quanto cambiare password? La realtà è che non esiste un periodo univoco e prestabilito per ogni situazione.
Quello che si sa, è che intervalli di tempo di 3 mesi (o meno) aumentano considerevolmente il rischio che si inneschino quei processi di trasformazione delle password già visti o che le stringhe prodotte dagli utenti non siano eccelse dal punto di vista della complessità.
Inoltre, parametri preponderanti per decidere di cambiare password sono altri.
Ad esempio, nell’eventualità di un attacco hacker con conseguente esfiltrazione di dati, è necessario un tempestivo cambio di password. Anche se si usano dei sistemi di 2FA o simili e si ricevono delle notifiche di tentativo di accesso, occorre cambiare subito la password.
Infatti, le notifiche di accesso sospette sono il segnale che qualcuno ha indovinato il codice segreto. ma non è riuscito ad aggirare l’autenticazione a due fattori.
Di contro, non bisogna ritardare di troppo il rinnovo della password.
A seconda delle fonti, un buon periodo di vita per una password sembra essere tra sei mesi ed un anno. Questo perché tale periodo non imprime ai dipendenti quella fretta che li induce a produrre stringhe deboli ma, al tempo stesso, consente un doveroso ricambio al fine di mantenere alto il livello di sicurezza.
Se si mantiene per troppo tempo la stessa password ci si espone a tutta una serie di rischi, primo fra tutti quello di dare più tempo ad un hacker per trovare il modo di penetrare all’interno di un servizio protetto.
Consigli per impostare correttamente le nuove password
Tanto nella prima fase di impostazione, quanto nei periodici aggiornamenti, la scelta della password dovrebbe rispettare alcuni linee guida, stilate appositamente per aumentare il livello di sicurezza.
Tanto a livello individuale, quanto in ambito aziendale, ricordare questi semplici parametri può ridurre significativamente il rischio di violazioni.
Gli accorgimenti da operare sono pochi ma importanti:
- Evitare password banali e facili da indovinare
Dal nome dei propri cari, all’intramontabile “Password123” passando per omaggi alla squadra del cuore: questo tipo di mezzi mnemonici sortiranno effetti avversi.
Oltre ad essere, purtroppo, molto utilizzate, queste password sono anche molto personali e, dunque, intuibili. Nel primo caso, l’hacker proverà a indovinare la password utilizzando per prime delle stringhe comuni, presenti con molta frequenza nei vari leak precedenti a sua disposizione.
Nel secondo, se c’è un attacco mirato ad una singola persona, l’hacker potrebbe sfruttare delle conoscenze sulla vita e le abitudini della vittima per formulare alcune password “ad hoc”. Il trade-off prevede di sacrificare opportunamente un po’ di facilità di memorizzazione per aumentare la sicurezza.
- Riutilizzare una stessa password per più account
L’errore forse più grave che si può commettere in ambito password è l’utilizzo di una singola stringa per più servizi. Anche scegliendo la password più sicura del mondo, nel caso in cui venisse violata, essa darà accesso a più servizi.
L’hacker utilizzerà le credenziali violate per tentare l’accesso su innumerevoli altri servizi, fino a trovare una corrispondenza (attività che prende il nome di credential stuffiing).
- Complessità
Una password robusta contiene al suo interno vari caratteri: dalle lettere (sia maiuscole che minuscole) ai numeri, passando per diversi caratteri speciali.
Tipicamente, tra questi ultimi figurano simboli quali “@”, parentesi di vario tipo e orientazione, punti e ‘trattini’ (dash e underscore).
Esistono molti caratteri speciali, dunque il loro utilizzo all’interno di una password complica notevolmente il lavoro di cracking degli hacker, poiché viene ad aumentare il numero di stringhe formulabili.
- Lunghezza
La lunghezza delle password è un argomento dibattuto e in costante evoluzione.
È un parametro importante che serve ad aumentare il tempo necessario all’hacker per indovinare la combinazione giusta di caratteri. Una soglia minima comune è posta a 12 caratteri, ma alcuni enti, come Microsoft, consigliano una lunghezza di almeno 14 caratteri.
Dato che questo non è l’unico parametro che definisce la robustezza di una password, se un servizio pone un limite al numero massimo di caratteri utilizzabili si può sempre bilanciare (in parte) questa mancanza aumentando la complessità della stringa.
- Password manager
L’ultimo accorgimento è, infine, l’uso dei cosiddetti password manager. L’applicazione congiunta dei punti precedenti produce delle stringhe relativamente lunghe e difficilmente memorizzabili.
Grazie ai password manager è possibile anche generare password casuali e complesse, garantendo all’utente elevati livelli di sicurezza e sollevandolo dal problema di doverle ricordare.
Conclusioni
Il problema di cambiare password ciclicamente è particolarmente sentito in ambito aziendale. Inavvertitamente, alcune aziende impongono ai propri dipendenti dei ritmi troppo serrati. I dati mostrano che tale attività è controproducente, dato che induce i dipendenti a commettere gravi errori nella scelta delle password. Ne risulta un indebolimento nello standard di sicurezza, un assist gratuito ad eventuali attaccanti.
È importante ponderare con particolare attenzione il tempo di vita di una password, bilanciando sicurezza e operatività dei sistemi.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.