alt-gatto-500x4421

Niente scuse. Smettiamo di dare la colpa agli utenti!

C’era una volta un Sysadmin che obbligò tutti gli impiegati dell’azienda a cambiare la password ogni primo giorno del mese.

Analizzando il database, come consulente di sicurezza esterna, notai che quasi tutti gli impiegati avevano lo stesso hash per la loro password.

Dopo appena 1 minuto realizzai che quasi tutti stavano utilizzando come password il nome del mese appena iniziato.

 

La storia è un perfetto esempio di quanto sia controproducente forzare un reset della password.

Niente scuse. Smettiamo di dare la colpa agli utenti!

La realtà è questa:

Se un utente, e ripeto il SE, ha usato una password lunga, complessa, ed univoca per ogni servizio, non c’è mai bisogno di cambiarla.

Va cambiata, ADESSO e non sporadicamente, se è scritta in un post-it sulla scrivania o se è stata condivisa con qualcuno.

Inoltre se un servizio è stato vittima di furti di dati, ma la suddetta password (lunga, complessa, ed univoca per quel servizio) era stata salvata nel loro db sotto forma di hash (bcrypt), non c’è alcun reale motivo per cambiarla.

Se qualche servizio ti obbliga a cambiarla vuol dire che loro stessi non si fidano di come hanno salvato le informazioni nel loro database.

Tutto il resto sono chiacchiere da siti di gossip.