Raccomandazioni Scadenza Password

From Carini MediaWiki
Revision as of 13:22, 24 September 2024 by Scibile (talk | contribs) (Aggiornamento raccomandazioni NIST)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

Impostazione della Scadenza periodica delle password

L'uso di password che devono essere periodicamente rinnovate è di fatto deprecato: Gli organismi che si occupano di sicurezza informatica (NIST) e i produttori di software:

Non raccomandano più il cambio password periodico:

O addirittura lo sconsigliano:

Nell'utilizzo pratico si è osservato come forzare la scadenza delle password porta gli utenti a generare password meno robuste, a riutilizzare la stessa password su più servizi o a usare sequenze di caratteri (e.g. "NomeCane_anno+mese") molto facili da indovinare

Viene invece raccomandato il controllo della robustezza delle password "When processing requests to establish and change memorized secrets, verifiers SHALL compare the prospective secrets against a list that contains values known to be commonly-used, expected, or compromised." (NIST), l'uso dell'autenticazione a più fattori e la verifica con i database di password compromesse