Criteri password

I componenti tipici di un criterio password includono:

Lunghezza e formazioneedit password

Vedi anche: Intensità password

Molti criteri richiedono una lunghezza minima della password. Otto caratteri è tipico, ma potrebbe non essere appropriato. Le password più lunghe sono generalmente più sicure, ma alcuni sistemi impongono una lunghezza massima per la compatibilità con i sistemi legacy.

Alcuni criteri suggeriscono o impongono requisiti sul tipo di password che un utente può scegliere, ad esempio:

  • l’uso di entrambe le maiuscole e minuscole lettere (maiuscole e minuscole)
  • l’inserimento di uno o più cifre numeriche
  • l’inserimento di caratteri speciali, ad esempio @, #, $
  • divieto di parole trovate in una password black list
  • divieto di parole trovate in le informazioni personali dell’utente
  • divieto dell’uso del nome dell’azienda o un’abbreviazione
  • divieto di password che corrisponde al formato del calendario di date, numeri di targa, numeri di telefono, o altri numeri comuni

Altri sistemi di creare un password iniziale per l’utente; ma richiedono quindi di cambiarlo in uno di loro scelta entro un breve intervallo.

Elenco di blocchi di passwordedit

Gli elenchi di blocchi di password sono elenchi di password che sono sempre bloccati dall’uso. Gli elenchi di blocchi contengono password costruite con combinazioni di caratteri che altrimenti soddisfano la politica aziendale, ma non dovrebbero più essere utilizzate perché sono state ritenute insicure per uno o più motivi, come essere facilmente intuibili, seguendo uno schema comune o divulgare al pubblico da precedenti violazioni dei dati. Esempi comuni sono Password1, Qwerty123 o Qaz123wsx.

Password durationEdit

Alcuni criteri richiedono agli utenti di modificare le password periodicamente, spesso ogni 90 o 180 giorni. Il vantaggio della scadenza della password, tuttavia, è discutibile. I sistemi che implementano tali criteri a volte impediscono agli utenti di scegliere una password troppo vicina a una selezione precedente.

Questa politica può spesso ritorcersi contro. Alcuni utenti hanno difficoltà a escogitare password “buone” che sono anche facili da ricordare, quindi se le persone sono tenute a scegliere molte password perché devono cambiarle spesso, finiscono per usare password molto più deboli; la politica incoraggia anche gli utenti a scrivere le password. Inoltre, se la politica impedisce a un utente di ripetere una password recente, ciò richiede che esista un database delle password recenti di tutti (o dei loro hash) invece di cancellare quelle vecchie dalla memoria. Infine, gli utenti possono cambiare la loro password più volte nel giro di pochi minuti, e poi cambiare di nuovo a quello che realmente vogliono usare, eludendo la politica di modifica della password del tutto.

Devono essere considerati anche gli aspetti umani delle password. A differenza dei computer, gli utenti umani non possono eliminare una memoria e sostituirla con un’altra. Di conseguenza, la modifica frequente di una password memorizzata è uno sforzo per la memoria umana e la maggior parte degli utenti ricorre alla scelta di una password relativamente facile da indovinare (Vedi Affaticamento della password). Agli utenti viene spesso consigliato di utilizzare dispositivi mnemonici per ricordare password complesse. Tuttavia, se la password deve essere cambiata ripetutamente, i mnemonici sono inutili perché l’utente non ricorderebbe quale mnemonico usare. Inoltre, l’uso di mnemonici (che portano a password come “2BOrNot2B”) rende la password più facile da indovinare.

Anche i fattori di amministrazione possono essere un problema. A volte gli utenti dispongono di dispositivi meno recenti che richiedono una password utilizzata prima della scadenza della durata della password. Per gestire questi dispositivi meno recenti, gli utenti potrebbero dover ricorrere alla scrittura di tutte le vecchie password nel caso in cui abbiano bisogno di accedere a un dispositivo più vecchio.

Richiedere una password molto forte e non richiederne la modifica è spesso migliore. Tuttavia, questo approccio ha un grave inconveniente: se una persona non autorizzata acquisisce una password e la utilizza senza essere rilevata, quella persona può avere accesso per un periodo indefinito.

È necessario pesare questi fattori: la probabilità che qualcuno indovini una password perché è debole, rispetto alla probabilità che qualcuno riesca a rubare, o altrimenti acquisire senza indovinare, una password più forte.

Bruce Schneier sostiene che “praticamente tutto ciò che può essere ricordato può essere rotto” e raccomanda uno schema che utilizza password che non appariranno in nessun dizionario.

SanctionEdit

Le politiche relative alle password possono includere sanzioni progressive che iniziano con avvisi e terminano con la possibile perdita dei privilegi del computer o la cessazione del lavoro. Dove la riservatezza è obbligatoria per legge, ad es. con informazioni classificate, una violazione della politica delle password potrebbe essere un reato penale. Alcuni ritengono che una spiegazione convincente dell’importanza della sicurezza sia più efficace delle minacce di sanzioni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.