Cambio password ogni 90 giorni: Necessità o una farsa della sicurezza?

Quante volte ti è capitato di accendere il computer al mattino e… zac! Trovarsi di fronte alla famigerata notifica “La password è scaduta e deve essere cambiata!”? Quante volte hai dovuto creare una nuova password, cercando di ricordare l’ennesima combinazione complessa e incomprensibile? È una situazione che, oltre ad essere frustrante, può compromettere anche la produttività, sia per l’utente che per il reparto IT.

Immagina la frustrazione di un cliente costretto a far fronte a questa sfida quotidiana: creare una nuova password che rispetti tutte le regole aziendali, combinando lettere maiuscole, minuscole, numeri e caratteri speciali, e senza dimenticare la lunghezza richiesta dalla policy aziendale. E guai a lui se non ci riesce! Questa continua necessità di cambiamento non è solo una seccatura per l’utente, ma rappresenta anche un rischio in termini di gestione delle credenziali e di supporto IT, alimentando pratiche insicure come la scrittura delle password su post-it attaccati allo schermo.

Ma ci siamo mai chiesti: “È davvero necessario affrontare questa tortura ogni 90 giorni?” Non sarebbe meglio avere una password robusta, che non debba mai essere cambiata?

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La risposta, purtroppo, non è così semplice. Sebbene possa sembrare allettante abbandonare completamente il cambio periodico delle password, rinunciare a questa pratica senza una strategia alternativa potrebbe esporre l’azienda a vulnerabilità gravi, trasformando quello che inizialmente sembrava un risparmio in un rischio maggiore per la sicurezza.

Le normative dietro le policy di sicurezza: storia ed evoluzione

L’obbligo di una rotazione periodica delle password non è soltanto una pratica aziendale consolidata, ma trova le sue radici nelle normative come il GDPR (Regolamento Generale sulla Protezione dei Dati) e la recente NIS2 (Direttiva sulla Sicurezza delle Reti e dei Sistemi Informatici). Questi regolamenti impongono alle aziende di adottare misure di sicurezza adeguate per proteggere i dati personali e i sistemi critici, e il cambio periodico delle password è stato a lungo considerato un pilastro fondamentale per minimizzare il rischio di compromissione delle credenziali.

Questa pratica nasce negli anni ’90, in un’epoca in cui gli attacchi brute-force rappresentavano una minaccia significativa. All’epoca, gli hacker avevano il tempo (e la pazienza) di provare miliardi di combinazioni finché non riuscivano a decifrare la tua password, magari una bella “123456” (ammettilo, l’hai usata almeno una volta nella vita). Con sistemi di sicurezza meno sofisticati, il cambio frequente delle password era una strategia efficace per bloccare tali attacchi.

Tuttavia, con l’evoluzione delle tecnologie di sicurezza, come l’hashing (un processo che trasforma la password in una stringa di caratteri che non può essere decifrata) e il salting (l’aggiunta di un valore casuale alla password prima di applicare l’hashing, che rende il processo molto più difficile da violare), oggi le password sono meglio protette e gli attacchi brute-force sono diventati meno comuni. Nonostante questo, il cambio password ogni 90 giorni continua a essere utilizzato da molte aziende, spesso più per inerzia che per reale necessità, trasformandosi in una sorta di rituale aziendale che pochi si sentono di mettere in discussione.

Il problema delle password riciclate

Quando obblighiamo gli utenti a cambiare password troppo spesso, non stiamo migliorando la sicurezza, ma stiamo creando un disastro prevedibile. La “Password123!” diventa magicamente “Password124!”, poi “Password125!” e così via. Prevedibili, banali e incredibilmente facili da decifrare, queste password “a tappe” non proteggono nessuno e trasformano la sicurezza in un’illusione.

Inoltre, secondo Gartner, tra il 20% e il 50% delle chiamate all’help desk riguardano il reset di password dimenticate, e ogni richiesta può costare all’azienda fino a 70 dollari. Quindi, mentre pensi di proteggere i dati, in realtà stai spendendo soldi e tempo in modo poco saggio. Questo meccanismo di protezione finisce per essere un enorme fardello per tutti: per gli utenti, per il supporto IT e, ovviamente, per il bilancio aziendale.

Immagina una piccola azienda con 100 dipendenti, ognuno che resetta la propria password una volta al mese: il costo annuale per il reset delle password può superare i 70.000 dollari. Questi sono soldi che potrebbero essere meglio investiti in soluzioni più efficaci.

La tentazione della password “eterna”

Alcune aziende hanno scelto di adottare password che non scadono mai, come tentativo di ridurre i costi e le lamentele. Sì, proprio così, una password robusta che puoi usare per sempre, senza fastidiose notifiche ogni tre mesi. Ma è davvero sicuro? Non proprio.

Anche la password più complicata e impronunciabile può essere violata, soprattutto se riutilizzata su siti come Facebook o Netflix. Secondo un sondaggio di LastPass, il 91% delle persone sa che riutilizzare le password è rischioso, ma il 59% lo fa comunque. Così, mentre si pensa di aver trovato una soluzione pratica, si rischia inconsapevolmente di esporre il proprio sistema a potenziali minacce, rendendo più facile l’accesso agli hacker.

E non dimentichiamoci un altro fattore preoccupante: in media, ci vogliono circa 207 giorni per accorgersi che qualcuno ha violato un sistema. 207 giorni in cui un hacker potrebbe usare le tue credenziali come chiavi d’accesso, muovendosi liberamente nei sistemi aziendali senza che nessuno se ne accorga. Se la password non scade mai, questo diventa un problema enorme.

Nel contesto della normativa NIS2, che richiede un approccio di sicurezza avanzato per i settori critici, una simile vulnerabilità può mettere a rischio intere infrastrutture e servizi essenziali. La strategia quindi non può limitarsi a una sola soluzione.

La soluzione: stop agli incubi da password!

Allora, cosa facciamo? Continuiamo a torturare gli utenti con il cambio password ogni 90 giorni o rischiamo tutto con le password eterne? La risposta non sta in un semplice “o l’uno o l’altro”.

Il vero segreto della sicurezza oggi non sta nel cambio frequente della password, ma creare passphrase più lunghe e intelligenti: combinazioni di parole memorabili ma impossibili da indovinare. Oltre a questo, l’autenticazione a due fattori (2FA) offre una protezione addizionale, inviando un codice di verifica su dispositivi personali e rendendo le credenziali più difficili da sfruttare.

Ma per ottenere il massimo della sicurezza, le aziende devono anche considerare strumenti come i password manager, che generano e memorizzano password complesse per gli utenti, alleviando il peso della memoria e migliorando la sicurezza complessiva.

Conclusione: stop alle vecchie abitudini!

Il panorama della sicurezza informatica è in costante evoluzione, così come le normative che lo regolano, dal GDPR alla NIS2. In questo contesto, continuare a seguire vecchie abitudini come il cambio password obbligatorio ogni 90 giorni rischia di risultare controproducente. Tuttavia, abbandonare del tutto questa pratica senza adottare alternative efficaci potrebbe esporre le aziende a gravi vulnerabilità.

Per garantire una protezione robusta, è necessario adottare un approccio strategico che combini strumenti moderni e best practice. Passphrase lunghe e memorabili, l’autenticazione a più fattori e l’uso di password manager sono elementi chiave per un sistema di sicurezza più efficiente. Non si tratta solo di conformità alle normative, ma di implementare soluzioni che migliorino la sicurezza senza sacrificare la produttività aziendale.

Investire in queste strategie non solo aumenta la resilienza contro le minacce informatiche, ma riduce anche i costi operativi e il carico sul supporto IT. Un cambiamento verso un modello di gestione delle password più moderno e consapevole rappresenta un vantaggio competitivo, garantendo una maggiore protezione dei dati e un ambiente di lavoro più sereno per tutti gli utenti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Luca Galuppi

Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Aree di competenza: Firewall, Networking, Network Design, Architetture IT, Servizi IT

Visita il sito web dell'autore