Contenuti:
Negli ultimi tempi la sicurezza delle password è un tema di cui si parla molto, soprattutto a causa della pandemia che ha costretto un gran numero di persone a lavorare da casa. A tal proposito, una delle domande che ci si pone più spesso è con quale frequenza bisognerebbe cambiare le password.
Ebbene, forse ti sorprenderà sapere che cambiare spesso le password in realtà non è affatto ideale. Anziché rafforzare la sicurezza, l'effetto potrebbe essere diametralmente opposto, perché le persone sarebbero indotte a scegliere password simili tra loro per evitare seccature. Questa è una considerazione che dovresti tenere a mente fin dall'inizio.
Il problema dei cambiamenti frequenti
Per molto tempo, le tempistiche consigliate per la modifica delle password erano di 30, 60 o 90 giorni; nella maggior parte dei casi, andavano quindi cambiate a intervalli di qualche mese. Purtroppo questo ha causato un problema di proporzioni davvero enormi, soprattutto nel caso delle imprese che rendono obbligatori questi frequenti cambiamenti. Anche Wired ha affrontato nello specifico la questione di non cambiare spesso le password.
Oggi la necessità di memorizzare sempre più credenziali ha reso i dipendenti, e le persone in generale, ancor meno propensi a creare password lunghe e sicure. E non possiamo certo biasimarli.
Naturalmente c'è una logica alla base di queste raccomandazioni di modifica o, perlomeno, esisteva in passato. Più spesso si cambia una password, meno è probabile che venga violata, giusto? In realtà no, peggiora solo la situazione.
Molto semplicemente, il problema è che se le persone vengono costrette a creare spesso nuove password, finiranno per usare qualche piccola variazione di quelle usate in precedenza.
Se poi, come talvolta accade, la richiesta di modificare una password arriva quando si è nel bel mezzo di un lavoro o un'attività importante, si tratta di un disastro pressoché annunciato. L'interruzione forzata ci spingerà infatti a scegliere una password banale e facile da ricordare, il che significa che probabilmente sarà anche semplice da indovinare per i criminali informatici.
Le raccomandazioni del NIST
Di recente il NIST, ovvero l'agenzia governativa statunitense National Institute of Standards and Technology, ha messo a punto alcune linee guida riguardanti le tempistiche per cambiare le password. Anche il NIST ammette che esiste un evidente problema con le frequenti modifiche delle password e ha raccomandato, tra le altre cose, di non cambiarle così spesso e di diminuirne la complessità.
Un altro consiglio del NIST è di usarle di più a lungo, ma fare in modo che siano facili da ricordare, ad esempio utilizzando password composte da diverse parole. Allo stesso modo, le aziende e i siti web non dovrebbero obbligare a cambiare le password in modo casuale o arbitrario, e quando sollecitano una modifica dovrebbero fornire dei buoni motivi ai dipendenti per farlo.
Il NIST parla anche di aziende che provano altri metodi per evitare le potenziali fughe di password, come ad esempio l'autenticazione a due fattori. In realtà, invece di concentrarsi sulle sole password di testo, esistono molti altri modi per proteggere le informazioni.
Il momento migliore per cambiare una password
Ma se modificare le password ogni 30, 60 o 90 giorni non è la soluzione migliore, allora cosa fare?
Innanzitutto, se il servizio che stai utilizzando ha comunicato di aver subito una violazione, cambiare la password è una cosa da fare immediatamente. Allo stesso modo, se ricevi una notifica che ti informa che qualcuno ha effettuato l'accesso al tuo account, e non eri tu, impostane subito un'altra. Infine, se ti viene richiesta l'autenticazione a due fattori senza aver tentato di accedere a un account, anche in questo caso occorre cambiare all'istante la password.
In termini di problemi a livello locale, se trovi un virus o un malware sul tuo dispositivo che sta imperversando da un po' di tempo, occorre subito modificare tutte le password: è probabile infatti che siano state compromesse. Detto questo, ci teniamo a precisare che, se disponi di un buon antivirus che rileva virus o malware prima che possano fare danni, non devi preoccuparti. Inoltre, se di recente hai effettuato l'accesso ai tuoi account da un computer pubblico o condiviso, anche in questo caso è buona cosa cambiare le password; non puoi sapere quali programmi fossero in esecuzione su quel dispositivo, come ad esempio un keylogger che registra i tasti premuti.
Se hai condiviso una password con qualcuno, ti consigliamo di modificarla; se si tratta di un account condiviso ancora in uso, assicurati di non utilizzare la stessa password altrove. Per contro, se l'account non viene più usato da altri utenti, non c'è nulla di male nel cambiare la password per motivi di sicurezza.
In conclusione, un buon lasso di tempo dopo il quale si dovrebbero cambiare le password in realtà esiste: all'incirca un anno. È un buon lasso di tempo che, da un lato, non è così breve da indurti a creare una nuova password troppo semplice (e quindi non sicura), e dall'altro non è così lungo da farti temere che la sicurezza dei tuoi account potrebbe essere a rischio, soprattutto nei confronti di attacchi ransomware o di pharming.
Alcuni consigli utili per modificare le tue password
Ora che sai con quale cadenza cambiare le password, la domanda è: qual è il modo migliore per farlo?
Ecco alcuni suggerimenti:
Usa un generatore di password se non riesci a mettere a punto una buona combinazione di 12 o 16 caratteri (che, lo ammettiamo, è piuttosto complicato).
Dal momento che non tutti abbiamo una memoria da elefante, prendi in considerazione l'utilizzo di una passphrase, o frase di accesso. Si tratta, in sostanza, di una sequenza di parole che hanno più o meno senso se messe insieme, ad esempio "Venti bimbi seduti sul treno", che è lunga 28 caratteri ed è facile da ricordare.
Un gestore di password è assolutamente fondamentale, in quanto consente di memorizzare molte credenziali complesse e di aggiungere un ulteriore livello di sicurezza. La password principale per sbloccare questo programma può essere molto lunga e complessa, ma non per questo devi farti cullare da un falso senso di sicurezza: attieniti sempre alle buone prassi indicate sopra quando scegli le tue password. Consulta questa guida sulla scelta del miglior gestore di password se hai bisogno di un piccolo aiuto per decidere quale prodotto fa al caso tuo.
Smetti di riciclare le password. Si tratta di un'altra questione molto importante perché, anche se un hacker entrasse in possesso di una vecchia password, proverà comunque a usarla con tutte le sue possibili varianti.
Se il servizio o sito web in questione offre l'autenticazione a due fattori, usala: si tratta di un robusto livello di sicurezza che puoi aggiungere in modo relativamente facile e veloce.