Dopo il post in cui riportavo lo scambio di idee tra me e Stefano Ramacciotti sul cambio periodico o meno delle password (https://blog.cesaregallotti.it/2024/02/sul-cambio-delle-password.html), mi ha scritto Pietro, che desidera essere anonimo e che ringrazio (si definisce addirittura mio fan).
Riassumo quanto da lui scritto.
<<
Per me, il nuovo approccio che prevede di non cambiare più periodicamente la password è stato veramente una liberazione, più che altro per sensibilizzare quegli amministratori di sistema che impongono ancora il cambio molto, troppo spesso.
E' sempre stato evidente, e mi meraviglia che ci si sia arrivati in decenni, che gli utenti non potranno o vorranno mai memorizzare le loro credenziali, se le cambiano di continuo in maniera sostanziale, con le conseguenze che tutti sappiamo: non vengono più memorizzate ma trascritte o vengono cambiate solo di una virgola. Questo permetteva solo, a certi amministratori di sistema, di giustificarsi dicendo che facevano fatto il loro dovere sorvolando sull'efficacia o meno del controllo. Era talmente entrato nella cultura che non potevi non obbligare il cambio password, saresti stato uno scellerato. Ricordo sempre con un sorriso un utente che mi chiese come mai non lo obbligavo a cambiare la password, perché dove era prima era abituato così, e mi pregò di applicare questa policy altrimenti lui non si sarebbe mai ricordato di farlo e ciò lo metteva a disagio per la sicurezza del suo accesso. Ovviamente mi capitò tempo dopo di scoprire che la sua password era del tipo "Qualcosa11" dove il numero finale era circa il numero dei mesi dall'assunzione.
Sono d'accordo che magari, piuttosto che non cambiarla proprio mai, il cambio ogni anno o due possa essere salutare.
Io mi sono inventato un metodo rafforzativo, che potremmo chiamare l'auto-salting. Si decide una prima parte di password molto robusta e strong, diciamo di 8 caratteri almeno. Quello diventa il salt: non cambia mai. E una parte successiva, più semplice ma certo non troppo, insomma non proprio "mamma" per intenderci, che possa esser cambiata periodicamente. La semplicità di questa seconda parte permette all'utente di non dover barare e quindi di non cambiarne solo una virgola ma di poterla cambiare del tutto e con una certa frequenza.
A questo, aggiungo sempre questo mio suggerimento che credo piacerà: l'uso del dialetto. E' un modo simpatico, e soprattutto facilmente memorizzabile, di usare una lingua che (per lo più) non è in nessun dizionario di bruta forza dell'attaccante, il che lo rende quasi equivalente a una sequenza random di caratteri (poi è chiaro che l'uso di più parole e l'aggiunta di un qualche numeretto o carattere speciale etc possano aiutare a rafforzare ulteriormente). E tra l'altro è un modo piacevole di tenere calde le nostre origini. Io nel mio studio tengo apposta un libro discorsivo nel mio dialetto, che consulto a questo scopo.
Serve comunque buonsenso: un mio cliente di Bologna, di fronte a tale consiglio, ha risposto "Qui a Bologna al 99% userebbero la stessa password" e non la riporto. E' ovvio che funziona sempre e solo cercando un minimo di originalità.
>>
Ringrazio Pietro perché, da un'esperienza diversa da quella mia e di Stefano, alla fine, concordiamo.