Sto utilizzando un gestore di password e ho ottimizzato tutte le mie password in modo che siano complesse, lunghe e uniche.
Mi sto chiedendo se ci sono delle linee guida per decidere se dovrei cambiare le mie password di volta in volta e, in caso affermativo, con quale frequenza.
Nelle nuove linee guida NIST (US National Institute of Standards and Technology), ora ci sono alcune revisioni piuttosto sorprendenti delle linee guida su diverse aree della gestione delle password. Secondo questo del blog di Naked Security di Sophos , l'invecchiamento automatico o periodico delle password non è più raccomandato dalle nuove linee guida; piuttosto, l'articolo dice:
The only time passwords should be reset is when they are forgotten, if they have been phished, or if you think (or know) that your password database has been stolen and could therefore be subjected to an offline brute-force attack.
L'unico altro motivo per cambiare le password in base a una pianificazione è di rispettare policy obsolete che sono resistenti ai cambiamenti, come i requisiti PCI DSS relativi alle password:
8.2.4 Change user passwords/passphrases at least once every 90 days.
Questo non è un problema di sicurezza ma un problema di conformità. Di fronte a un regolamento che ha essenzialmente forza di legge, la conformità sfortunatamente deve superare la sicurezza.
Pubblicazione speciale NIST 800-63b: Linee guida per l'autenticazione digitale
Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.
The NCSC now recommend organisations do not force regular password expiry. We believe this reduces the vulnerabilities associated with regularly expiring passwords (described above) while doing little to increase the risk of long-term password exploitation.
Il problema non è il mantenimento delle password per molto tempo, ma piuttosto i punti deboli introdotti nella creazione di nuovi. Quindi, se si utilizza un metodo randomizzato per la generazione di password, è possibile potrebbe ottenere vantaggi dalle password di aggiornamento periodiche.
Ma non ci sono linee guida ufficiali su quanto spesso dovrebbe essere quando si creano password complesse perché i rischi sono troppo bassi. Quando aggiungi 2FA, i rischi sono ancora più bassi.
Le linee guida di cui hai bisogno sono basate sui rischi identificati . Se ritieni che il servizio che stai autenticando memorizzi le password in testo semplice, venga violato spesso e archivi i dati che sono fondamentali per te, allora potresti voler cambiare la tua password abbastanza spesso, indipendentemente dalle indicazioni ufficiali.
Leggi altre domande sui tag passwords password-management password-policy