Non è detto che cambiare spesso la password sia la chiave per garantire un livello accettabile per la sicurezza dei nostri sistemi!
Un’affermazione, questa, abbastanza forte ma realistica, nonostante il fatto che oggi i sistemi ci obblighino a un cambio password periodico. 

Il vero problema deriva dal fatto che quello che gli utenti fanno è cambiare solo una piccola parte della password usuale, come, ad esempio, l’eventuale numero finale, che viene banalmente aumentato di uno.

Ricordo un nostro cliente cui avevamo impostato un cambio semestrale obbligatorio e la cui password, dopo 6 anni, era diventata “Qualcosa12.”. Una password complessa, ma il suo cambio non è sostanziale e lascia spazio a una potenziale compromissione da parte di malintenzionati, reali o virtuali che siano, e che abbiano intuito una delle vecchie password.

Un cambio password di questo tipo è pressoché inutile e, in questo senso, cambiare la password, se fatto in questo modo, è un’azione non necessaria perché non risolve il problema alla radice.

La tecnica suggerita dagli amministratori di sistema è normalmente quella di cambiarla radicalmente, ma questo porta a fattori di rischio peggiori come annotare le password in un file, o scriverla in un post-it attaccato al monitor o sotto la tastiera (anche sopra per non fare fatica), o su foglietti sulla scrivania. Anche questa una consuetudine sbagliata.

Ma come fare allora?

Ecco un buon consiglio che vi diamo: 

• Decidete una prima parte di password molto robusta e strong, diciamo di 8 caratteri almeno, che vi ricorderete sempre. In termini tecnici questa parte diventa il “salt” e non cambierà mai.
• Aggiungete poi ad essa una parte successiva, di almeno 5 caratteri, come una parola semplice, che possa essere cambiata periodicamente e che potete ricordarvi facilmente. La semplicità di questa seconda parte permette a voi di non dover barare e quindi di non cambiarne solo una virgola o un numero quando il sistema ve lo chiederà: in questo modo la cambierete sempre del tutto con la frequenza richiesta o, questo sì, almeno una volta ogni anno.

Va da sé che, se pensate che la vostra password sia stata intercettata, il cambio password va fatto immediatamente e su tutti i fronti possibili, sempre con la regola del “salt + nuova parola semplice”.

Cosa fare in definitiva allora, nella scelta di una buona password?

1. Avere sempre password forti, composte da almeno 12 caratteri, con lettere maiuscole e minuscole, numeri e simboli, aiutandovi come abbiamo detto prima, “salt + parola semplice”.
2. Eventualmente utilizzare un gestore di password per archiviare e gestire le password in modo efficiente e sicuro, ma che sia un gestore affidabile e la cui password unica sia forte e composta come prima.
3. Attivare per i sistemi critici, tipo quelli finanziari o per l’accesso da remoto alle vostre sedi, un’autenticazione multi-fattore (approfondisci qui e qui).
4. Monitorare sempre tutti i propri account e tenere sotto controllo eventuali attività sospette, per cambiare immediatamente la password in caso di dubbi di compromissione.

In conclusione quindi, cambiare frequentemente la password non è la chiave per una sicurezza informatica efficace ma è fondamentale adottare un approccio olistico che includa l’utilizzo di password robuste, l’utilizzo di strumenti adeguati, la consapevolezza dei rischi, la formazione degli utenti e l’implementazione delle tecnologie di sicurezza avanzate.
 

Peraltro, la recente normativa NIS2 che dovrà essere recepita entro il 18/10/2024, di cui a questo nostro post, riporta il cambio delle password come misura di “cyber hygiene”. Ma di questo parleremo prossimamente.