Nella sezione “USO APPROPRIATO DEI PRIVILEGI DI AMMINISTRATORE” del documento delle misure minime di sicurezza ict del 26/4/2017, è scritto:
Quando l’autenticazione a più fattori non è supportata, utilizzare per le utenze amministrative
credenziali di elevata robustezza (e.g. almeno 14 caratteri).
Quindi per le utenze amministrative la lunghezza minima d’ora in poi sarà di almeno 14 caratteri. E per le utenze standard? La lunghezza minima rimane di 8 caratteri?
Secondo me già 14 è poco.
Il consiglio per le utenze amministrative secondo me è 25 o superiore.
Per le utenze non admin, non è facile perchè li ti trovi gli utenti che le mettono da 4 caratteri per ricordarsele, però farei almeno 15, consigliando loro di non farla troppo diffile tipo Hò&v5%$dahasd)7 ma una cosa anche tipo 1234567890a1234567890z.
Meglio lunga che complessa in linea di massima.
Andrea
Sono d’accordo che la lunghezza vince sulla “presunta” complessità (è una questione di entropia binaria che aumenta molto più con la lunghezza rispetto alla cardinalità dell’alfabeto usato per ogni singolo carattere), ma concatenerei stringhe di vocabolari diversi e numeri.
Sequenze di numeri, come quella che hai indicato, sono facilmente crackabili con le euristiche dei vari password cracker. Lo stesso vale per la prima lettera maiuscola o l’ultima o la traslitterazione di lettere in numeri o viceversa. Tutte misure da tempo surclassate dai cracker.
Io consiglio sempre di utilizzare password generate randomicamente da generatori affidabili SOLO SE si ha un password wallet affidabile. Nel caso di password da memorizzare necessariamente come quella di accesso al PC o Master password, allora concatenazione di stringhe da vocabolari diversi e lingue diverse. Password wallet possibilmente off-line per evitare Data Leak in massa delle proprie credenziali. Lunghezza minima almeno 12 caratteri.
La rotazione delle password invece è un’arma a doppio taglio perché gli utenti sono sempre più furbi e più lazy dell’admin. E’ importante che venga fatta all’occorrenza, ma comunque mai al di sotto di un anno. Si rischia impennata di chiamate all’help desk, riuso di password, telefonata della segretaria del Mega Capo Nucleare…
my 2 cents
Si può usare Lastpass ad esempio, anche se i più esperti come dici consigliano Password Manager locali per evitare qualsiasi tipo di data leak o di lettura da parte di terzi.
Per la complessità concordo, è corretto mettere caratteri di vario tipo anche se poi rendere difficile all’utente finale la memorizzazione. Per cui facendogli scegliere tra il nome del figlio con al posto delle vocali i numeri e il nome di tutti i membri della famiglia, sono per la 2 