Di recente la sicurezza delle password è aumentata, soprattutto a causa della pandemia che ha costretto le persone a lavorare da casa. Naturalmente, una delle domande che in molti si pongono è la frequenza con cui bisognerebbe cambiare le password.
Contenuti
Beh, ti sorprenderà sapere che cambiare di frequente la password in realtà non è l'ideale. Anziché rafforzare la sicurezza, infatti, potrebbe ottenere l'effetto opposto: ovvero spingerci a scegliere password simili per frustrazione. Questo è un consiglio che devi tenere a mente fin dall'inizio.
Il problema dei cambiamenti frequenti
Per diverso tempo, il periodo standard di modifica della password era previsto ogni 30, 60 o 90 giorni. In pratica, quindi, una volta ogni 3 mesi circa. Purtroppo, questo ha causato un problema assolutamente grave, soprattutto nelle aziende che impongono il cambiamento frequente. Lo stesso tema, "non cambiare spesso le password", è stato trattato anche da Wired.
Ora, la necessità di memorizzare sempre più password ha reso dipendenti e individui ancora meno propensi a crearne di lunghe e sicure. E non possiamo biasimarli.
Naturalmente, c'è una logica dietro a questo cambiamento raccomandato, o, almeno, c'era all'epoca. Più spesso si cambia la password, meno è probabile che venga violata, giusto? In realtà no, peggiora la situazione.
Infatti, il problema è che, se costrette a creare spesso nuove password, le persone finiranno per fare qualche piccola modifica a quelle precedenti.
Se poi, come accade, la richiesta arriva quando si è nel bel mezzo del lavoro, è la ricetta per il disastro. L'interruzione forzata ci spingerà infatti a scegliere qualcosa di facile e davvero memorabile, proporzionale alla facilità con cui può essere indovinato.
Raccomandazioni del NIST
Di recente, il NIST, il National Institute of Standards and Technology, ha offerto alcuni le linee direttive per sapere quando cambiare password. Anche il NIST ammette che c'è un evidente problema con le frequenti modifiche delle password e ha raccomandato, tra le altre, di non cambiarle così spesso e di diminuirne la complessità.
Un altro consiglio è quello di usarle di più a lungo ma fare in modo che siano facili da ricordare, come ad esempio quelle che includono diverse parole. Allo stesso modo, le aziende e i siti web non dovrebbero obbligare a modificare le password in modo casuale o arbitrario, ma fornire una buona ragione ai dipendenti per tenere il passo.
Il NIST parla anche di aziende che provano altri metodi per rendere più sicure le password, come l'autenticazione a due fattori. In realtà, oltre a una semplice password di testo, ci sono molti modi per proteggere le informazioni.
Il momento migliore per cambiare la password
Ma se cambiare la password ogni 30, 60 o 90 giorni non è il momento migliore, allora qual è la soluzione?
Beh, innanzitutto, se il servizio che stai utilizzando ha rivelato una violazione, cambiare la password è la prima cosa da fare. Allo stesso modo, se ricevi una notifica che ti informa che qualcuno ha effettuato l'accesso al tuo account e non eri tu, scegline subito un'altra. Infine, se ti viene richiesta l'autenticazione a due fattori senza averne fatta una, tutto suggerisce che è arrivato il momento di cambiare la password.
In termini di problemi localizzati, se trovi un virus o malware sul tuo computer che è in esecuzione da un po' di tempo, ti consigliamo di modificare le password poiché potrebbero essere state compromesse. Detto questo, ci teniamo a precisare che avere un buon antivirus che cattura virus o malware prima che possano fare danni, non devi preoccuparti. Se di recente hai utilizzato un computer pubblico o condiviso, anche qui potrebbe essere una buona idea cambiare la password, poiché non puoi sapere cosa vi fosse in esecuzione, come ad esempio un keylogger (registro delle digitazioni).
Se hai condiviso una password con qualcuno, ti consigliamo di modificarla. Se si tratta di un account condiviso ancora in uso, assicurati di non utilizzare la stessa password altrove. D'altra parte, se non viene più usato dagli altri utenti, non c'è niente di male nel cambiare la password per motivi di sicurezza.
In conclusione, un buon lasso di tempo dopo il quale si dovrebbe cambiare la password in realtà c'è: un anno o giù di lì. È infatti abbastanza breve da non dare la sensazione di essere costretti a creare una nuova password (e quindi una debole) e sufficientemente lungo da indurre a considerare quella vecchia un rischio per la sicurezza del tuo account, soprattutto per cose come ransomware o un attacco di pharming.
Consigli per cambiare la password
Bene, ora che sai quando cambiare la password, qual è il modo migliore per farlo?
Ecco alcuni suggerimenti:
Usa un generatore di password se non riesci a trovare una buona combinazione da 12 o 16 caratteri (il che, sì, è piuttosto difficile).
Dal momento che non tutti abbiamo una memoria da elefante, prendi in considerazione l'utilizzo di una passphrase. Si tratta, in sostanza, di una stringa di parole che hanno senso se messe insieme. Per esempio "Venti ragazzi sul treno" che è lunga 23 caratteri ed è facile da ricordare.
Un gestore di password, poi, è fondamentale, in quanto consente di memorizzare molte password complesse e aggiungere un altro livello ancora di sicurezza. La password principale che usi a questo scopo può essere lunga e complessa, ma non deve farti dormire sugli allori: fai sempre riferimento alle migliori pratiche di cui sopra per sceglierne una. Dai un'occhiata a questo guida sulla scelta del miglior gestore di password se hai bisogno di un piccolo aiuto per decidere quale prodotto fa al caso tuo.
Non riciclare le password. Anche questo è un punto importante, dal momento che, anche se quella di cui sono entrati in possesso è una vecchia password, i pirati proveranno comunque a usarla con tutte le sue varianti.
Se il servizio o il sito web utilizzato offre l'autenticazione a due fattori, utilizzala. Si tratta di un forte livello di sicurezza che si può aggiungere in modo facile e veloce.