Trovare una password efficace e facile da memorizzare per accedere a Windows è complicato. Doverla cambiare ogni 60 giorni è un’odissea. Eppure per anni gli utenti aziendali di Windows sono stati costretti a questo tormento in nome della sicurezza. Con il risultato che, esaurita la fantasia, le password diventano via via più banali e facili da “bucare” per gli hacker. O che, per evitare dimenticanze, si finiva per scriverle su un Post-it appiccicato sotto alla tastiera o al tappetino del mouse (nel migliore dei casi).
Microsoft l’ha capito, e ha modificato le linee guida sulla sicurezza di Windows depennando la scadenza predefinita della password come funzionalità di sicurezza di base in Windows 10. Le linee guida sono una serie di impostazioni di configurazione consigliate da Microsoft, che i responsabili IT delle aziende sono tenuti a seguire per assicurarsi che decine, centinaia o migliaia di PC dei dipendenti siano quanto più sicuri possibile.
Con il rilascio di Windows 10 versione 1903, la scadenza della password scompare. L’aspetto che fa sorridere è il motivo di questa decisione: invece di aumentare la sicurezza, l’obbligo di cambiare password ogni due mesi in realtà si è rivelata dannosa per la sicurezza stessa. L’azienda californiana spiega che “quando le persone sono costrette a cambiare le loro password, troppo spesso apportano una piccola e prevedibile alterazione alla password esistente e/o dimenticano le loro nuove password”. Insomma, si passava da Password1 a Password2, Password3, eccetera, o ai Post-it.
La nuova linea guida è che “la scadenza periodica di una password è una difesa solo nell’eventualità che una password venga rubata durante il suo intervallo di validità e utilizzata da entità non autorizzate. Se una password non viene rubata, non è necessario cambiarla“. Non solo, ironia della sorte, se una password con scadenza bimestrale viene rubata, il ladro ha fino a 60 giorni di tempo per usarla, che è più che sufficiente per perpetrare danni. Morale: la scadenza della password non funziona.
Gli utenti aziendali ringraziano, finalmente possono cestinare i promemoria mal custoditi e le password oltre il limite del banale, e investire 5 minuti per ideare una password davvero sicura. Dovrà rispettare i requisiti di lunghezza minima, essere abbastanza complessa da non essere facilmente indovinabile, non essere mai stata usata o scritta da nessuna parte. Ma se è una “per sempre” si può fare.