Luca Galuppi : 18 Novembre 2024 07:18
Quante volte ti è capitato di accendere il computer al mattino e… zac! Trovarsi di fronte alla famigerata notifica “La password è scaduta e deve essere cambiata!”? Quante volte hai dovuto creare una nuova password, cercando di ricordare l’ennesima combinazione complessa e incomprensibile? È una situazione che, oltre ad essere frustrante, può compromettere anche la produttività, sia per l’utente che per il reparto IT.
Immagina la frustrazione di un cliente costretto a far fronte a questa sfida quotidiana: creare una nuova password che rispetti tutte le regole aziendali, combinando lettere maiuscole, minuscole, numeri e caratteri speciali, e senza dimenticare la lunghezza richiesta dalla policy aziendale. E guai a lui se non ci riesce! Questa continua necessità di cambiamento non è solo una seccatura per l’utente, ma rappresenta anche un rischio in termini di gestione delle credenziali e di supporto IT, alimentando pratiche insicure come la scrittura delle password su post-it attaccati allo schermo.
Ma ci siamo mai chiesti: “È davvero necessario affrontare questa tortura ogni 90 giorni?” Non sarebbe meglio avere una password robusta, che non debba mai essere cambiata?
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La risposta, purtroppo, non è così semplice. Sebbene possa sembrare allettante abbandonare completamente il cambio periodico delle password, rinunciare a questa pratica senza una strategia alternativa potrebbe esporre l’azienda a vulnerabilità gravi, trasformando quello che inizialmente sembrava un risparmio in un rischio maggiore per la sicurezza.
L’obbligo di una rotazione periodica delle password non è soltanto una pratica aziendale consolidata, ma trova le sue radici nelle normative come il GDPR (Regolamento Generale sulla Protezione dei Dati) e la recente NIS2 (Direttiva sulla Sicurezza delle Reti e dei Sistemi Informatici). Questi regolamenti impongono alle aziende di adottare misure di sicurezza adeguate per proteggere i dati personali e i sistemi critici, e il cambio periodico delle password è stato a lungo considerato un pilastro fondamentale per minimizzare il rischio di compromissione delle credenziali.
Questa pratica nasce negli anni ’90, in un’epoca in cui gli attacchi brute-force rappresentavano una minaccia significativa. All’epoca, gli hacker avevano il tempo (e la pazienza) di provare miliardi di combinazioni finché non riuscivano a decifrare la tua password, magari una bella “123456” (ammettilo, l’hai usata almeno una volta nella vita). Con sistemi di sicurezza meno sofisticati, il cambio frequente delle password era una strategia efficace per bloccare tali attacchi.
Tuttavia, con l’evoluzione delle tecnologie di sicurezza, come l’hashing (un processo che trasforma la password in una stringa di caratteri che non può essere decifrata) e il salting (l’aggiunta di un valore casuale alla password prima di applicare l’hashing, che rende il processo molto più difficile da violare), oggi le password sono meglio protette e gli attacchi brute-force sono diventati meno comuni. Nonostante questo, il cambio password ogni 90 giorni continua a essere utilizzato da molte aziende, spesso più per inerzia che per reale necessità, trasformandosi in una sorta di rituale aziendale che pochi si sentono di mettere in discussione.
Quando obblighiamo gli utenti a cambiare password troppo spesso, non stiamo migliorando la sicurezza, ma stiamo creando un disastro prevedibile. La “Password123!” diventa magicamente “Password124!”, poi “Password125!” e così via. Prevedibili, banali e incredibilmente facili da decifrare, queste password “a tappe” non proteggono nessuno e trasformano la sicurezza in un’illusione.
Inoltre, secondo Gartner, tra il 20% e il 50% delle chiamate all’help desk riguardano il reset di password dimenticate, e ogni richiesta può costare all’azienda fino a 70 dollari. Quindi, mentre pensi di proteggere i dati, in realtà stai spendendo soldi e tempo in modo poco saggio. Questo meccanismo di protezione finisce per essere un enorme fardello per tutti: per gli utenti, per il supporto IT e, ovviamente, per il bilancio aziendale.
Immagina una piccola azienda con 100 dipendenti, ognuno che resetta la propria password una volta al mese: il costo annuale per il reset delle password può superare i 70.000 dollari. Questi sono soldi che potrebbero essere meglio investiti in soluzioni più efficaci.
Alcune aziende hanno scelto di adottare password che non scadono mai, come tentativo di ridurre i costi e le lamentele. Sì, proprio così, una password robusta che puoi usare per sempre, senza fastidiose notifiche ogni tre mesi. Ma è davvero sicuro? Non proprio.
Anche la password più complicata e impronunciabile può essere violata, soprattutto se riutilizzata su siti come Facebook o Netflix. Secondo un sondaggio di LastPass, il 91% delle persone sa che riutilizzare le password è rischioso, ma il 59% lo fa comunque. Così, mentre si pensa di aver trovato una soluzione pratica, si rischia inconsapevolmente di esporre il proprio sistema a potenziali minacce, rendendo più facile l’accesso agli hacker.
E non dimentichiamoci un altro fattore preoccupante: in media, ci vogliono circa 207 giorni per accorgersi che qualcuno ha violato un sistema. 207 giorni in cui un hacker potrebbe usare le tue credenziali come chiavi d’accesso, muovendosi liberamente nei sistemi aziendali senza che nessuno se ne accorga. Se la password non scade mai, questo diventa un problema enorme.
Nel contesto della normativa NIS2, che richiede un approccio di sicurezza avanzato per i settori critici, una simile vulnerabilità può mettere a rischio intere infrastrutture e servizi essenziali. La strategia quindi non può limitarsi a una sola soluzione.
Allora, cosa facciamo? Continuiamo a torturare gli utenti con il cambio password ogni 90 giorni o rischiamo tutto con le password eterne? La risposta non sta in un semplice “o l’uno o l’altro”.
Il vero segreto della sicurezza oggi non sta nel cambio frequente della password, ma creare passphrase più lunghe e intelligenti: combinazioni di parole memorabili ma impossibili da indovinare. Oltre a questo, l’autenticazione a due fattori (2FA) offre una protezione addizionale, inviando un codice di verifica su dispositivi personali e rendendo le credenziali più difficili da sfruttare.
Ma per ottenere il massimo della sicurezza, le aziende devono anche considerare strumenti come i password manager, che generano e memorizzano password complesse per gli utenti, alleviando il peso della memoria e migliorando la sicurezza complessiva.
Il panorama della sicurezza informatica è in costante evoluzione, così come le normative che lo regolano, dal GDPR alla NIS2. In questo contesto, continuare a seguire vecchie abitudini come il cambio password obbligatorio ogni 90 giorni rischia di risultare controproducente. Tuttavia, abbandonare del tutto questa pratica senza adottare alternative efficaci potrebbe esporre le aziende a gravi vulnerabilità.
Per garantire una protezione robusta, è necessario adottare un approccio strategico che combini strumenti moderni e best practice. Passphrase lunghe e memorabili, l’autenticazione a più fattori e l’uso di password manager sono elementi chiave per un sistema di sicurezza più efficiente. Non si tratta solo di conformità alle normative, ma di implementare soluzioni che migliorino la sicurezza senza sacrificare la produttività aziendale.
Investire in queste strategie non solo aumenta la resilienza contro le minacce informatiche, ma riduce anche i costi operativi e il carico sul supporto IT. Un cambiamento verso un modello di gestione delle password più moderno e consapevole rappresenta un vantaggio competitivo, garantendo una maggiore protezione dei dati e un ambiente di lavoro più sereno per tutti gli utenti.
Luca GaluppiSarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...
La disillusione nei confronti degli incontri online spinge sempre più le donne a cercare intimità emotiva nel mondo virtuale. Sempre più donne si rivolgono all’intelligenza artificiale, ovvero ai...
Una falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema...
Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...
Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
