Raccomandazioni Scadenza Password
Impostazione della Scadenza periodica delle password
L'uso di password che devono essere periodicamente rinnovate è di fatto deprecato: Gli organismi che si occupano di sicurezza informatica (NIST) e i produttori di software:
Non raccomandano più il cambio password periodico:
- Microsoft: "Time to rethink mandatory password changes." FTC Technology Blog
O addirittura lo sconsigliano:
- NIST: "Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically)." NIST Special Publication 800-63B
Nell'utilizzo pratico si è osservato come forzare la scadenza delle password porta gli utenti a generare password meno robuste, a riutilizzare la stessa password su più servizi o a usare sequenze di caratteri (e.g. "NomeCane_anno+mese") molto facili da indovinare
Viene invece raccomandato il controllo della robustezza delle password "When processing requests to establish and change memorized secrets, verifiers SHALL compare the prospective secrets against a list that contains values known to be commonly-used, expected, or compromised." (NIST), l'uso dell'autenticazione a più fattori e la verifica con i database di password compromesse