Raccomandazioni Scadenza Password: Difference between revisions
Alessandro (talk | contribs) m Raccomandazioni NIST e Microsoft |
Alessandro (talk | contribs) m Minor changes |
||
Line 15: | Line 15: | ||
===Verifica della robustezza delle password=== | ===Verifica della robustezza delle password=== | ||
Sempre il NIST, nella Special Publication 800-63B raccomanda "When processing requests to establish and change memorized secrets, verifiers SHALL compare the prospective secrets against a list that contains values known to be commonly-used, expected, or compromised." | |||
===Note storiche=== | ===Note storiche=== | ||
Nel 2011-08-10 il webcomic [https://xkcd.com/ xkcd] usciva con [https://xkcd.com/936/ questa] vignetta sull'argomento. | Nel 2011-08-10 il webcomic [https://xkcd.com/ xkcd] usciva con [https://xkcd.com/936/ questa] vignetta sull'argomento. | ||
[[File:Xkcd - Password Strength.png|alt=xkcd: Password Strength|center|Through 20 years of effort, we've successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess]] | [[File:Xkcd - Password Strength.png|alt=xkcd: Password Strength|center|Through 20 years of effort, we've successfully trained everyone to use passwords that are hard for humans to remember, but easy for computers to guess]] |
Revision as of 11:53, 31 January 2023
Gestione delle password
Buone pratiche e cattive pratiche
L'uso della coppia "nome utente + password" è uno dei primi approcci usati per risolvere il problema autenticazione su un sistema informatico, e uno degli argomenti che ha generato la maggior quantità di stron ... teorie improbabili del mondo informatico.
Come prima cosa la maggior parte delle aziende e dei privati usano ancora politiche degli anni '90 che prevedono un numero minimo di caratteri troppo basso (8 o anche meno), non accettano l'uso di spazi e caratteri speciali, limitano la lunghezza massima della password e impongono cambi di password totalmente inutili.
Purtroppo le cattive abitudini sono dure a morire, e si continua ad imporre la pratica del cambio della password, benché gli organismi che si occupano di security e gli stessi produttori di software
Non raccomandano più il cambio password periodico
- "Dropping the password-expiration policies that require periodic password changes" https://learn.microsoft.com/en-us/archive/blogs/secguide/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903
O addirittura lo sconsigliano
- "Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically)." NIST Special Publication 800-63B
Verifica della robustezza delle password
Sempre il NIST, nella Special Publication 800-63B raccomanda "When processing requests to establish and change memorized secrets, verifiers SHALL compare the prospective secrets against a list that contains values known to be commonly-used, expected, or compromised."
Note storiche
Nel 2011-08-10 il webcomic xkcd usciva con questa vignetta sull'argomento.