Raccomandazioni Scadenza Password

L’obbligo di rinnovo periodico delle password è oggi considerato una pratica superata. I principali organismi di riferimento in materia di sicurezza informatica, tra cui il National Institute of Standards and Technology (NIST), non raccomandano più il cambio periodico obbligatorio delle password.

In particolare:

• Microsoft: “Time to rethink mandatory password changes” (FTC Technology Blog)".
• U.S. National Institute of Standards and Technology (NIST): “Verifiers and CSPs SHALL NOT require users to change passwords periodically” (NIST Special Publication 800-63B).
• U.K. National Cyber Security Centre (NCSC): "The problems with forcing regular password expiry" (NCSC blog)

L’esperienza operativa ha evidenziato che l’imposizione della scadenza periodica può produrre effetti controproducenti: gli utenti tendono a scegliere password meno robuste, a riutilizzare le stesse credenziali su più servizi o ad adottare varianti prevedibili (ad es. “NomeCane_^anno_^mese”), facilmente individuabili tramite attacchi automatizzati.

Le linee guida attuali raccomandano invece:

• La verifica della robustezza della password al momento della creazione o modifica.
• Il confronto con elenchi di password comuni, attese o già compromesse (“When processing requests to establish and change memorized secrets, verifiers SHALL compare the prospective secrets against a list that contains values known to be commonly-used, expected, or compromised.” – NIST);
• L’adozione dell’autenticazione a più fattori (MFA);

L’origine della raccomandazione sul cambio periodico delle password è spesso attribuita a Bill Burr, che nel 2003 contribuì alla redazione di linee guida del NIST contenenti tale indicazione. In una successiva intervista alla BBC, Burr ha dichiarato di essersi pentito di quella scelta, riconoscendone le conseguenze negative in termini di usabilità e sicurezza.