Secondo Microsoft le password deboli servono e vanno riusate

Una delle regole essenziali della sicurezza informatica, ripetuta fino alla nausea è che la password deve essere complessa e che si debba usarne una differente per ciascun servizio , allo scopo di rendere complesso agli aggressori il compito di recuperarla e limitare i danni (se riescono a trovarne una, non potranno riusarla sugli altri account dell’utente). in questi giorni un trio di ricercatori della Microsoft ha messo in discussione questo dogma con un articolo intitolato Password portfolios and the Finite-Effort User: Sustainably Managing Large Numbers of Accounts.

La loro idea di fondo è che la capacità di ricordare dell’uomo è limitata, per questo non possiamo tenere a mente tanteare password complicate: meglio dunque andare contro il dogma e usare password semplici per i siti a basso rischio e non importanti e lasciare le password sofisticate per i siti più importanti. ci sono molti siti infatti che chiedono di creare login e password per avere accesso a dati che anche se diventassero di dominio pubblico non comporterebbero nessun problema. Chi usa uno nick per creare su Instagram un account nel quale non pubblica ne foto personali ne altri dati identificativi ha realmente necessità di una password di livello bancario? La proposta dei ricercatori di Redmond è decisa: anche se contrariamente a tutte le raccomandazioni del caso , secondo dei sondaggi molti utilizzano la medesima password su tutti i propri account. Un altra regola che viene messa in discussione è il reset periodico delle password (di solito 3 mesi) , imposto spesso sui luoghi di lavoro: secondo i ricercatori infatti l’obbligo non rafforza la sicurezza ma la indebolisce, perché porta gli utenti a scegliere password più facili da ricordare.