Pubblicazione speciale NIST 800-63b: Linee guida per l'autenticazione digitale
Verifiers SHOULD NOT require memorized secrets to be changed
arbitrarily (e.g., periodically). However, verifiers SHALL force a
change if there is evidence of compromise of the authenticator.
Guida ufficiale NCSC:
The NCSC now recommend organisations do not force regular password
expiry. We believe this reduces the vulnerabilities associated with
regularly expiring passwords (described above) while doing little to
increase the risk of long-term password exploitation.
Il problema non è il mantenimento delle password per molto tempo, ma piuttosto i punti deboli introdotti nella creazione di nuovi. Quindi, se si utilizza un metodo randomizzato per la generazione di password, è possibile potrebbe ottenere vantaggi dalle password di aggiornamento periodiche.
Ma non ci sono linee guida ufficiali su quanto spesso dovrebbe essere quando si creano password complesse perché i rischi sono troppo bassi. Quando aggiungi 2FA, i rischi sono ancora più bassi.
Le linee guida di cui hai bisogno sono basate sui rischi identificati . Se ritieni che il servizio che stai autenticando memorizzi le password in testo semplice, venga violato spesso e archivi i dati che sono fondamentali per te, allora potresti voler cambiare la tua password abbastanza spesso, indipendentemente dalle indicazioni ufficiali.