Perché Microsoft non consiglia più di cambiare le password periodicamente

Perché Microsoft non consiglia più di cambiare le password periodicamente

Microsoft ha rimosso il cambio periodico delle password dalle linee guida sulle pratiche di base per ottenere un buon livello di sicurezza: la ragione è che il cambio non porta a una sicurezza maggiore, anzi

di pubblicata il , alle 08:41 nel canale Security
Microsoft
 

Una delle politiche per aumentare la sicurezza più diffuse nel passato era quella del cambio di password periodico. Tale pratica, però, è divenuta con il tempo obsoleta: da diversi anni infatti i ricercatori di sicurezza la sconsigliano. Lo stesso NIST, organo statunitense che si occupa degli standard di sicurezza, sconsiglia fortemente di obbligare gli utenti a cambiare le proprie password. Microsoft ha quindi deciso di fare sue queste linee guida rimuovendo la necessita di cambiare le password dalle sue linee guida relative a Windows e Azure.

Microsoft non consiglia più il cambio periodico delle password

Chiunque abbia avuto a che fare con il cambio periodico delle password si è reso conto di alcune debolezze di questo sistema: le password devono tendenzialmente seguire delle regole precise di complessità, il che le rende difficili da ricordare; ciò rende più probabile l'uso di nuove password che sono molto simili alle precedenti e cambiano di uno o due caratteri (banana1, banana2...); è quindi facile che, per ricordarsi password difficili e che cambiano di continuo, gli utenti le scrivano da qualche parte, azzerando di fatto la sicurezza.

Microsoft ha raccomandato per diversi anni di imporre il cambio periodico delle password, in particolare in ambienti aziendali. Con l'aggiornamento di aprile (1903) di Windows 10 e di Windows Server, però, l'azienda non consiglia più di adottare il cambio periodico come una strategia efficace di sicurezza. Come spiega l'azienda in un articolo sul suo blog, i suggerimenti che l'azienda dà per migliorare la sicurezza degli ambienti sono una base su cui costruire una più ampia strategia di sicurezza che deve includere diverse misure. Tra queste troviamo l'autenticazione tramite due fattori (two-factor authentication o 2FA) o la creazione di liste di password non utilizzabili che escludano password banali come password, p455w0rd, 1234 e così via.

Il ragionamento esposto da Microsoft per giustificare la scelta è, in realtà, semplice: il cambio periodico delle password è utile soltanto per limitare la possibilità di intrusi di utilizzare a tempo indeterminato un profilo compromesso. Il problema è che in tale senso le linee guida attuali sono inutili, dal momento che si va dai 42 giorni di impostazione predefinita di Windows ai 60 giorni raccomandati da Microsoft: periodi di tempo decisamente troppo elevati. Ridurre però tale periodo a un intervallo utile per contenere l'attacco è irrealistico: cambiare le password ogni giorno renderebbe estremamente caotica la gestione delle politiche di sicurezza.

Le password devono essere cambiate solo quando c'è il ragionevole sospetto che siano compromesse, ma se non c'è alcuna prova che siano state compromesse non ha senso introdurre nelle procedure ulteriori complicazioni derivanti da un cambio periodico perché non porterebbero alcun vantaggio. Oltretutto, se vengono implementati effettivamente tutti gli elementi che permettono di ottenere una sicurezza migliore (autenticazione tramite più fattori, lista delle password non consentite, rilevamento degli attacchi e di tentativi anomali di accesso), qual è il vantaggio di introdurre ulteriore complessità imponendo agli utenti di cambiare password?

Microsoft ha dunque deciso di rimuovere interamente le raccomandazioni circa il cambio periodico dalle proprie linee guida di base: saranno le aziende a decidere quale sia la procedura migliore. Questo è però un significativo passo in avanti per una razionalizzazione delle misure di sicurezza che si spera si diffonda presto presso le aziende.

Come ulteriori elementi di interesse segnaliamo che il NIST sconsiglia anche di introdurre limitazioni nella composizione della password (ad esempio, richiedere che le password siano composte di maiuscole e minuscole e contengano lettere, numeri e simboli speciali) e di impedire che sia utilizzata la funzione "incolla" per facilitare così l'uso di gestori delle password come KeePass.

Il NIST e Microsoft riconoscono un fatto semplice ma fondamentale: siamo umani, e in quanto tali siamo imperfetti - e così è anche la nostra memoria. Far sì che gli utenti debbano spendere energie e risorse per inseguire i cambiamenti arbitrari delle password impone ulteriori aggravi che vanno poi a influenzare il rendimento lavorativo o a ridurre il livello di sicurezza. Meglio concentrarsi su quello che conta davvero!

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

14 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
AlPaBo25 Giugno 2019, 09:44 #1
Trovo particolarmente fastidioso la pretesa di alcuni siti di impedire l'uso del copia-incolla. Aggiungo anche l'impossibilità di usare spazi o punti all'interno di una password.
LukeIlBello25 Giugno 2019, 10:18 #2
te credo dopo che mimikatz ti consente di sgamare le password di tutto il dominio, che serve cambiarle? te le risgama lo stesso...
quindi giusto come consiglio
nickname8825 Giugno 2019, 10:27 #3
Originariamente inviato da: LukeIlBello
te credo dopo che mimikatz ti consente di sgamare le password di tutto il dominio, che serve cambiarle? te le risgama lo stesso...
quindi giusto come consiglio

Perchè scrivi solo nelle news di Windows ?
LukeIlBello25 Giugno 2019, 10:30 #4
Originariamente inviato da: nickname88
Perchè scrivi solo nelle news di Windows ?



https://www.hwupgrade.it/forum/showthread.php?t=2887071
https://www.hwupgrade.it/forum/showthread.php?t=2887060
nickname8825 Giugno 2019, 10:31 #5
Originariamente inviato da: LukeIlBello
Perchè scrivi in tutte le news di Windows ? ( senza saltarne alcuna ).
LukeIlBello25 Giugno 2019, 10:35 #6
Originariamente inviato da: nickname88
Perchè scrivi in tutte le news di Windows ? ( senza saltarne alcuna ).


perchè sono appassionato de OS'es e windows è un OS
nickname8825 Giugno 2019, 10:37 #7
Originariamente inviato da: LukeIlBello
perchè sono appassionato de OS'es e windows è un OS
Anche MacOS è un OS eppure non scrivi spesso quando esce una news a riguardo e neppure su quelle Linux o Android, sei puntuale solo su quelle Windows.
LukeIlBello25 Giugno 2019, 10:39 #8
Originariamente inviato da: nickname88
Anche MacOS è un OS eppure non scrivi spesso quando esce una news a riguardo e neppure su quelle Linux o Android, sei puntuale solo su quelle Windows.


macOS è un OS che monta kernel BSD (darwin) e io su BSD scrivo eccome
Linux idem scrivo, vai a vedere sulla sezione omonima del forum
Android monta kernel linux, vedi sopra
acerbo25 Giugno 2019, 11:13 #9
vabbé la spiegazione letteraria no fà una grinza ed é anche abbastanza ovvia, se obblighi la gente a cambiare password ogni 45gg e imponi minimo 10caratteri con tanto di maiuscole cifre e caratteri speciali alla fine costringi l'utente a scriversele da qualche parte.
Quello che non comprendo é la soluzione tecnica adottata da microsoft, concretamente cosa hanno implementato per mantenerte la sicurezza degli account senza obbligare il cambio password?
LukeIlBello25 Giugno 2019, 11:15 #10
Originariamente inviato da: acerbo
vabbé la spiegazione letteraria no fà una grinza ed é anche abbastanza ovvia, se obblighi la gente a cambiare password ogni 45gg e imponi minimo 10caratteri con tanto di maiuscole cifre e caratteri speciali alla fine costringi l'utente a scriversele da qualche parte.
Quello che non comprendo é la soluzione tecnica adottata da microsoft, concretamente cosa hanno implementato per mantenerte la sicurezza degli account senza obbligare il cambio password?

la sicurezza degli account? non è prevista

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^