Perché Microsoft non consiglia più di cambiare le password periodicamente

Una delle politiche per aumentare la sicurezza più diffuse nel passato era quella del cambio di password periodico. Tale pratica, però, è divenuta con il tempo obsoleta: da diversi anni infatti i ricercatori di sicurezza la sconsigliano. Lo stesso NIST, organo statunitense che si occupa degli standard di sicurezza, sconsiglia fortemente di obbligare gli utenti a cambiare le proprie password. Microsoft ha quindi deciso di fare sue queste linee guida rimuovendo la necessita di cambiare le password dalle sue linee guida relative a Windows e Azure.

Microsoft non consiglia più il cambio periodico delle password

Chiunque abbia avuto a che fare con il cambio periodico delle password si è reso conto di alcune debolezze di questo sistema: le password devono tendenzialmente seguire delle regole precise di complessità, il che le rende difficili da ricordare; ciò rende più probabile l'uso di nuove password che sono molto simili alle precedenti e cambiano di uno o due caratteri (banana1, banana2...); è quindi facile che, per ricordarsi password difficili e che cambiano di continuo, gli utenti le scrivano da qualche parte, azzerando di fatto la sicurezza.

Microsoft ha raccomandato per diversi anni di imporre il cambio periodico delle password, in particolare in ambienti aziendali. Con l'aggiornamento di aprile (1903) di Windows 10 e di Windows Server, però, l'azienda non consiglia più di adottare il cambio periodico come una strategia efficace di sicurezza. Come spiega l'azienda in un articolo sul suo blog, i suggerimenti che l'azienda dà per migliorare la sicurezza degli ambienti sono una base su cui costruire una più ampia strategia di sicurezza che deve includere diverse misure. Tra queste troviamo l'autenticazione tramite due fattori (two-factor authentication o 2FA) o la creazione di liste di password non utilizzabili che escludano password banali come password, p455w0rd, 1234 e così via.

Il ragionamento esposto da Microsoft per giustificare la scelta è, in realtà, semplice: il cambio periodico delle password è utile soltanto per limitare la possibilità di intrusi di utilizzare a tempo indeterminato un profilo compromesso. Il problema è che in tale senso le linee guida attuali sono inutili, dal momento che si va dai 42 giorni di impostazione predefinita di Windows ai 60 giorni raccomandati da Microsoft: periodi di tempo decisamente troppo elevati. Ridurre però tale periodo a un intervallo utile per contenere l'attacco è irrealistico: cambiare le password ogni giorno renderebbe estremamente caotica la gestione delle politiche di sicurezza.

Le password devono essere cambiate solo quando c'è il ragionevole sospetto che siano compromesse, ma se non c'è alcuna prova che siano state compromesse non ha senso introdurre nelle procedure ulteriori complicazioni derivanti da un cambio periodico perché non porterebbero alcun vantaggio. Oltretutto, se vengono implementati effettivamente tutti gli elementi che permettono di ottenere una sicurezza migliore (autenticazione tramite più fattori, lista delle password non consentite, rilevamento degli attacchi e di tentativi anomali di accesso), qual è il vantaggio di introdurre ulteriore complessità imponendo agli utenti di cambiare password?

Microsoft ha dunque deciso di rimuovere interamente le raccomandazioni circa il cambio periodico dalle proprie linee guida di base: saranno le aziende a decidere quale sia la procedura migliore. Questo è però un significativo passo in avanti per una razionalizzazione delle misure di sicurezza che si spera si diffonda presto presso le aziende.

Come ulteriori elementi di interesse segnaliamo che il NIST sconsiglia anche di introdurre limitazioni nella composizione della password (ad esempio, richiedere che le password siano composte di maiuscole e minuscole e contengano lettere, numeri e simboli speciali) e di impedire che sia utilizzata la funzione "incolla" per facilitare così l'uso di gestori delle password come KeePass.

Il NIST e Microsoft riconoscono un fatto semplice ma fondamentale: siamo umani, e in quanto tali siamo imperfetti - e così è anche la nostra memoria. Far sì che gli utenti debbano spendere energie e risorse per inseguire i cambiamenti arbitrari delle password impone ulteriori aggravi che vanno poi a influenzare il rendimento lavorativo o a ridurre il livello di sicurezza. Meglio concentrarsi su quello che conta davvero!