Quanto spesso dovremmo cambiare le nostre password?
Negli ultimi anni, l’autenticazione senza password e le passkey hanno mostrato un grande potenziale, grazie alla diffusione del riconoscimento facciale su smartphone, rendendo l’accesso alle app semplice e sicuro. Tuttavia, queste tecnologie non sono ancora la norma, soprattutto sui desktop, dove si usano ancora le vecchie password. Questo rappresenta una sfida poiché le password restano uno degli obiettivi più interessanti per i truffatori. Diventa quindi importante chiedersi con quale frequenza cambiare le credenziali per mantenerle sicure, una questione più complessa di quanto possa sembrare.
Perché il cambio di password potrebbe non avere senso
Fino a non molto tempo fa, si consigliava di cambiare regolarmente le password per mitigare il rischio di furto o di cracking da parte di cybercriminali. Il buon senso suggeriva di cambiarle ogni 30 o 90 giorni.
Oggi però alcuni studi indicano che cambi frequenti delle password, potrebbero non migliorare necessariamente la sicurezza degli account. In altre parole, non esiste una risposta unica su quando dovremmo cambiare le nostre password. Inoltre, molti di noi hanno troppi account online per poterli gestire, figuriamoci inventare password forti e uniche per ciascuno di essi ogni pochi mesi. Per questo diventa sempre più importante adottare misure di sicurezza aggiuntive che possano aiutare l’utente a gestire l’accesso ai diversi account o a rafforzare ulteriormente il livello di sicurezza dei propri account. Ecco che oggi la presenza di password manager e autenticazione a due fattori (2FA) si riscontra praticamente ovunque.
Il primo rende più facile memorizzare e richiamare password lunghe, forti e uniche per ogni account. La seconda aggiunge un ulteriore livello di sicurezza al processo di accesso tramite password. Inoltre, alcuni gestori di password ora includono il monitoraggio del dark web per segnalare automaticamente quando le credenziali potrebbero essere state compromesse e circolate su siti clandestini.
In ogni caso, ci sono alcune ottime ragioni per cui gli esperti di sicurezza e le autorità globalmente riconosciute, come il National Institute of Standards and Technology (NIST) degli Stati Uniti e il National Cyber Security Centre (NCSC) del Regno Unito, non raccomandano la sostituzione periodica delle password, a meno che non siano soddisfatti determinati criteri.
La logica è abbastanza semplice:
Secondo il NIST: “Gli utenti tendono a scegliere password più deboli quando sanno che dovranno cambiarle nel breve periodo”.
“Quando questi cambiamenti avvengono, spesso gli utenti scelgono password simili alle precedenti applicando modifiche comuni come l’aggiunta di un numero alla vecchia password”, continua il NIST.
Questa prassi fornisce un falso senso di sicurezza perché, se una password compromessa non viene sostituita con una forte e unica, gli attaccanti potrebbero facilmente violarla di nuovo.
Secondo l’NCSC, le nuove password, specialmente se create ogni pochi mesi, sono anche più probabilmente scritte e/o dimenticate.
“È uno di quei scenari di sicurezza controintuitivi; più spesso gli utenti sono costretti a cambiare le password, maggiore è la vulnerabilità complessiva agli attacchi. Quello che sembrava essere un consiglio sensato e di lunga data sembra non reggere a un’analisi rigorosa dell’intero sistema”, sostiene l’NCSC.
“L’NCSC ora raccomanda alle organizzazioni di non forzare la scadenza periodica delle password, ma piuttosto di indurre gli utenti a scegliere password forti. Riteniamo che ciò riduca le vulnerabilità associate alle password che scadono regolarmente e che non aumenti il rischio di sfruttamento delle password a lungo termine”.
Quando cambiare la password
Tuttavia, ci sono diversi scenari che necessitano di un cambio di password, specialmente se una delle situazioni in seguito descritte ha coinvolto i nostri account più importanti. Questi includono:
La password è stata compromessa in una violazione di dati di terze parti. Probabilmente verremo informati dal provider stesso, da servizi come Have I Been Pwned, o dal nostro password manager che esegue controlli automatici sul dark web.
La nostra password è debole e facile da violare (cioè potrebbe essere apparsa in un elenco delle password più comuni). Gli hacker usano strumenti per provare password comuni su più account nella speranza che una di queste funzioni – e spesso ci riescono.
Abbiamo riutilizzato la password su più account. Se uno qualsiasi di questi viene violato, gli hacker potrebbero utilizzare software di “credential stuffing” per aprire il nostro account su altri siti/app.
Abbiamo appena scoperto, grazie al nostro nuovo software di sicurezza, che il nostro dispositivo è stato compromesso da malware.
Abbiamo condiviso la nostra password con un’altra persona.
Abbiamo appena rimosso persone da un account condiviso (ad esempio, ex coinquilini).
Abbiamo effettuato l’accesso su un computer pubblico o su un dispositivo di un’altra persona.
Consigli e best practice per la scelta della password
Consideriamo quanto segue per ridurre al minimo le possibilità di sottrazione dell’account:
Utilizziamo sempre password forti, lunghe e uniche.
Memorizziamole in un password manager che avrà una singola credenziale master per l’accesso e potrà richiamare automaticamente tutte le nostre password per qualsiasi sito o app.
Monitoriamo gli alert sulle password violate e agiamo immediatamente dopo averli ricevuti.
Attiviamo la 2FA o sistemi di autenticazione a più fattori per fornire un ulteriore livello di sicurezza al nostro account.
Abilitiamo le passkey sul dispositivo mobile per un accesso sicuro ai nostri account.
Effettuiamo audit regolari delle password: rivediamo tutte le password degli account per assicurarci che non siano duplicate, facili, deboli o contengano informazioni personali come la data di nascita. Cambiamo quelle che non rispettano questi criteri.
Non salviamo le password nel browser. Questo perché i browser sono un obiettivo popolare per gli hacker, che potrebbero usare malware per sottrarre le password. Questo le esporrebbe anche per chiunque usi il nostro dispositivo/computer.
Se non utilizziamo le password casuali e forti suggerite dal nostro password manager (o dall’ESET password generator), seguiamo i suggerimenti della US Cybersecurity and Infrastructure Security Agency (CISA) che consiglia di utilizzare password o passphrase lunghe (8-64 caratteri) e di includere lettere maiuscole e minuscole, numeri e caratteri speciali.
Nel tempo, si spera che le passkey – con il supporto di Google, Apple, Microsoft e altri principali attori dell’ecosistema tecnologico – segnaleranno finalmente la fine dell’era delle password. Ma nel frattempo, assicuriamoci che i nostri account siano il più sicuri possibile.
Senior Manager of Presales and Tech Engineer di ESET Italia