Dovresti cambiare continuamente tutte le tue password per non renderle bersagli rapidi per i criminali informatici, o “bloccare” quelle davvero complesse, senza più cambiarle e poi lasciar perdere? Quale è la soluzione migliore?
Password complesse o passphrase che potrebbero non essere cambiate spesso o password scelte male che vengono cambiate regolarmente?
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Le nostre riflessioni in merito sono le seguenti:
- La modifica regolare delle password non è un’alternativa alla scelta e all’utilizzo di password complesse. Se vuoi cambiare la tua password ogni mese, è una tua scelta, ma non è una scusa per iniziare con il nome del tuo gatto e usarne varianti minori ogni poche settimane.
- Costringere le persone a cambiare regolarmente le proprie password può cullarle in cattive abitudini. Molti utenti adottano semplicemente un meccanismo prevedibile, come l’aggiunta di -01, -02, -03 e così via per soddisfare la lettera (ma non lo spirito) delle regole di sostituzione della password. Gli aggressori possono capire quel tipo di comportamento.
- La pianificazione delle modifiche alla password può ritardare le risposte di emergenza. Se cambi sempre la tua password ogni poche settimane, c’è meno incentivo a cambiarla subito se pensi di essere stato oggetto di phishing. Dopotutto, lo cambierai comunque “presto”.
In sostanza la modifica regolare della password non la rende magicamente una password migliore.
Solo la scelta di una password migliore in primo luogo la rende una password migliore! (Qui è dove i gestori di password possono aiutare.)
I rischi del comportamento meccanico per gli amministratori di rete
Richiedere cambi di password ogni mese quando semplicemente non è necessario è solo invitare le persone a salvare le loro nuove password in modo insicuro, o a scegliere nuove password in modo sciatto, o a ruotare attraverso una sequenza ripetuta di N password correlate o ad aggiornare sempre e solo le loro password ogni 30 giorni, anche in caso di emergenza.
Detto questo, bloccare gli utenti che non hanno effettuato l’accesso a specifici account aziendali per un certo periodo è una buona idea. (Questo protegge anche modestamente dagli account dimenticati, perché alla fine scadono automaticamente.)
Bloccare gli utenti per inattività è più invadente del semplice costringerli a reimpostare regolarmente le password, e quindi impopolare.
Ma se qualcuno ha un accesso all’account aziendale che non sta utilizzando, perché non spingerlo a giustificare di persona perché ne ha ancora bisogno dopo che non lo ha utilizzato per, diciamo, sei mesi o un anno?
Intermezzo promozionale ... continua la lettura dopo il box:
Dopotutto, se si tratta di un accesso per un prodotto o servizio che addebita una tariffa per utente… potresti persino riuscire a risparmiare il costo dell’abbonamento.
E se davvero non hanno più bisogno dell’account, li aiuti a stare fuori dai guai impedendo a ladri e criminali informatici di fare cose cattive in loro nome.