Cybersecurity: sempre più lunghe e stop a cambi obbligatori, l'ABC delle password 'sicure'

"Le raccomandazioni attuali per la creazione di password sicure si sono evolute molto negli ultimi anni. Gli esperti di sicurezza ora concordano che la lunghezza è molto più importante della complessità: una password dovrebbe avere almeno 8 caratteri, ma idealmente 12-15 caratteri o più. Contrariamente a quello che si credeva in passato, i requisiti di complessità obbligatori (come dover includere maiuscole, numeri e simboli) sono stati abbandonati dalle principali organizzazioni di sicurezza. Il motivo è semplice: questi vincoli portano le persone a creare password prevedibili, come mettere la prima lettera maiuscola o aggiungere un '1' o un '!' alla fine". A dirlo all'Adnkronos/Labitalia Fulvio Duse, coo di Aton IT, società che si distingue per la pluralità di competenze approfondite in ambito digital transformation, cyber security, business intelligence, Ia, blockchain.

"Un'altra importante novità - spiega - è l'abbandono dei cambi password periodici obbligatori. Costringere gli utenti a cambiare password ogni pochi mesi li porta a scegliere password più deboli e a incrementarle con schemi prevedibili. Le password dovrebbero essere cambiate solo quando c'è un sospetto di compromissione. E' fondamentale che ogni password sia unica per ogni servizio e che venga verificata contro database di password comuni e già compromesse in attacchi precedenti. Le password non devono contenere informazioni personali facilmente reperibili come nomi, date di nascita o nomi di familiari".

"Un approccio consigliato - suggerisce - è l'uso di 'passphrase' composte da parole casuali, che sono sia più sicure che più facili da ricordare rispetto a stringhe brevi e complesse. L'autenticazione a più fattori è fortemente raccomandata come secondo livello di protezione, e l'uso di password manager è incoraggiato per gestire password lunghe e uniche per ogni servizio".