Ricordate il vecchio consiglio secondo cui sarebbe meglio cambiare spesso le proprie password per i servizi online? O i servizi che vi obbligano a cambiarle ogni 90 giorni? Oppure ogni sei mesi? Secondo quanto riportato da Lorrie Cranore dalla Federal Trade Commission, questo consiglio si sarebbe rivelato molto meno sicuro di quanto si potesse immaginare, rendendo le password meno sicure.
La motivazione è presto detta: gli utenti obbligati a modificare la loro password tendono a utilizzare una “trasformazione” ovvero nuova password di poco differente dalla password precedente, modificando magari una sola lettera oppure utilizzando una password identica ma con una o più lettere maiuscole o minuscole rispetto alla precedente.
Questa routine di modifica è ben conosciuta dai pirati informatici, che includono nei loro sistemi e strategie di “crackatura” logiche che sono in grado di cogliere queste “trasformazioni” con più facilità e intercettare l’uso di nuove password.
“I ricercatori della UNC sostengono che se le persone devono modificare le proprie password ogni 90 giorni, tendono a utilizzarne una facilmente memorizzabile e fare ciò che noi chiamiamo una trasformazione”, ha detto Cranor “Prendono la loro vecchia password, la cambiano in qualche modo, ed ecco una nuova password”.
Non sono pochi i ricercatori che sostengono che il consiglio di cambiare spesso password non sia una buona pratica. Questo non significa che cambiare password sia del tutto sconsigliato, ma lo diventa nel momento in cui le persone tendono non a cambiare la propria password ma a trasformarla. Per questo sarebbe forse meglio cambiare la password solo quando necessario e non semplicemente perché sono trascorsi 90 giorni.
