venerdì 25 gennaio 2019

NON cambiate frequentemente la password!

Da qualche tempo l'applicativo che usiamo in Università per la verbalizzazione degli esami mostra un avviso in cui consiglia di "cambiare frequentemente la password per sicurezza":

Questo suggerimento è in conflitto con i suggerimenti che ho dato più e più volte nei mesi scorsi, a centinaia di persone diverse, in vari contesti diversi (compreso un corso di formazione che ho fatto per tutto il personale tecnico-amministrativo del nostro ateneo).

Mi sento quindi obbligato a ribadire che si tratta di un consiglio da non seguire.
  1. Il National Cyber Security Center del Regno Unito (organo che fornisce linee guida di cyber security alla pubblica amministrazione del Regno Unito ed il cui sito web è semplicemente fantastico), dice a proposito delle password che: "Regular password changing harms rather than improves security, so avoid placing this burden on users", cioè "cambiare la password regolarmente danneggia la sicurezza invece di migliorarla: evitate quindi di dare agli utenti questa incombenza".
  2. Il National Institute of Standard Technologies degli Stati Uniti afferma nelle "Digital Identity Guidelines" che occorre "Remove periodic password change requirements" (in questi giorni i siti governativi degli USA, compreso il NIST, sono inaccessabili a causa dello shutdown, quindi queste indicazioni non si possono reperire direttamente, comunque basta cercare un pò su Google e si trovano indicazioni su queste guidelines, ad esempio qui).
Potrei proseguire ma mi fermo qui.

Ovviamente, quando si viene a conoscenza di una intrusione in un sito web, ad esempio attraverso i mezzi di comunicazione, oppure perché ci informa il sito stesso, oppure attraverso un servizio di alert specializzato, allora occorre cambiare la password del sito coinvolto.

Ma sforzarsi di cambiare la password regolarmente "per motivi di sicurezza", no (a meno di non essere amministratore di una rete aziendale Windows, ma questo è tutto un altro discorso).

Le cose da fare sono altre, principalmente evitare il riuso delle password, cioè l'uso della stessa password in più siti importanti.

Appendice: perchè è un suggerimento da non seguire?

Il dato di fatto da cui partire è che il riuso delle password è il rischio di gran lunga più importante.

E' ormai diventato evidente che se gli utenti sono obbligati a cambiare frequentemente la password, allora è mooooolto probabile che arrivino ad usare la stessa password più o meno ovunque (perché altrimenti non riescono a ricordarla). Quindi invece di avere un vantaggio si finisce con l'avere un maggiore rischio.

In teoria cambiare la password frequentemente sarebbe cosa buona e giusta. Ma solo se la password è anche univoca e anche difficile da indovinare per un attaccante. Se uno riesce a soddisfare questi tre requisiti, ad esempio usando sistematicamente un software password manager (il che rende più semplice soddisfare questi requisiti ma non lo rende automatico), allora fa benissimo a cambiare la password regolarmente.

In pratica, pressoché nessuno riesce a soddisfare questi tre requisiti. Di conseguenza, bisogna scegliere il compromesso migliore, cioè quello a minore rischio. Minore rischio significa evitare assolutamente il riuso e cercare di renderla difficile da indovinare.

Appendice: e se sono obbligato a farlo?

Il nostro paese ha delle norme che impongono ai gestori di servizi che trattano dati di una certa tipologia di imporre il cambio della password ad intervalli di tempo regolari, dell'ordine dei mesi (è difficile sperare che queste norme siano aggiornate rimuovendo tale obbligo).

In questi casi il gestore del servizio impone una scadenza temporale forzando quindi l'utente a scegliere una nuova password, al primo login successivo a tale scadenza.

Soddisfare un obbligo normativo è però cosa ben diversa da suggerire attivamente agli utenti di cambiare regolarmente la password, lanciando il messaggio che questo comportamento è benefico per la sicurezza.