Uno dei consigli più comuni sulla sicurezza dell'account è che gli utenti dovrebbero cambiare le loro password regolarmente. Il ragionamento alla base di questo approccio è ridurre al minimo la durata della validità di qualsiasi password, nel caso in cui venga compromessa. L'intera strategia si basa sui consigli storici dei principali gruppi di sicurezza informatica come il NIST americano o il National Institute of Standards and Technology.
Per decenni i governi e le aziende hanno seguito questo consiglio e hanno costretto i propri utenti a reimpostare regolarmente le password, in genere ogni 90 giorni. Nel corso del tempo, tuttavia, la ricerca ha dimostrato che questo approccio non funzionava come previsto e nel 2017 NIST insieme al Regno Unito NCSC, o il National Cyber Security Center, hanno cambiato il loro consiglio per richiedere modifiche alla password solo quando c'è un ragionevole sospetto di compromissione.
Perché il consiglio è stato cambiato?
Il consiglio di cambiare regolarmente le password è stato originariamente implementato per aumentare la sicurezza. Da un punto di vista puramente logico, il consiglio di aggiornare regolarmente le password ha senso. Tuttavia, l'esperienza nel mondo reale è leggermente diversa. La ricerca ha dimostrato che costringere gli utenti a modificare regolarmente le proprie password li ha resi significativamente più propensi a iniziare a utilizzare una password simile che potrebbero semplicemente incrementare. Ad esempio, invece di scegliere password come "9L=Xk&2>", gli utenti userebbero password come "Spring2019!".
Si scopre che, quando sono costrette a inventare e ricordare più password e poi a cambiarle regolarmente, le persone usano costantemente password facili da ricordare che sono più insicure. Il problema con le password incrementali come "Spring2019!" è che sono facilmente indovinabili e quindi rendono facile prevedere anche i cambiamenti futuri. Combinato questo significa che forzare la reimpostazione della password spinge gli utenti a scegliere più facilmente da ricordare e quindi password più deboli, che in genere minano attivamente il vantaggio previsto di ridurre il futuro rischio.
Ad esempio, nel peggiore dei casi, un hacker potrebbe compromettere la password "Spring2019!" entro pochi mesi dalla sua validità. A questo punto, possono provare varianti con "Autunno" anziché "Primavera" e probabilmente otterranno l'accesso. Se l'azienda rileva questa violazione della sicurezza e quindi costringe gli utenti a modificare le password, è giusto probabile che l'utente interessato cambierà semplicemente la propria password in "Inverno2019!" e pensare che sono sicuro. L'hacker, conoscendo lo schema, potrebbe provare a farlo se riesce ad accedere di nuovo. A seconda di quanto tempo un utente si attiene a questo schema, un utente malintenzionato potrebbe utilizzarlo per l'accesso per più anni, il tutto mentre l'utente si sente al sicuro perché cambia regolarmente la password.
Qual è il nuovo consiglio?
Per incoraggiare gli utenti a evitare le password stereotipate, il consiglio è ora di reimpostare le password solo quando vi è il ragionevole sospetto che siano state compromesse. Non costringendo gli utenti a ricordare regolarmente una nuova password, è più probabile che scelgano una password complessa in primo luogo.
In combinazione con questo ci sono una serie di altre raccomandazioni volte a incoraggiare la creazione di password più sicure. Questi includono la garanzia che tutte le password siano lunghe almeno otto caratteri al minimo assoluto e che il numero massimo di caratteri sia di almeno 64 caratteri. Ha inoltre raccomandato alle aziende di iniziare ad allontanarsi dalle regole di complessità verso l'uso di blocklist utilizzando dizionari di password deboli come "ChangeMe!" e "Password1" che soddisfano molte complessità requisiti.
La comunità della sicurezza informatica concorda quasi all'unanimità sul fatto che le password non debbano scadere automaticamente.
Nota: sfortunatamente, in alcuni scenari, potrebbe essere ancora necessario farlo, poiché alcuni governi devono ancora modificare le leggi che richiedono la scadenza della password per i sistemi sensibili o classificati.