Scadenza password: come fare

[Emidio Frattaroli]

Oggi abbiamo attivato una funzione chiamata "scadenza password" che obbliga gli iscritti a cambiare la propria password ogni 90 giorni. Si tratta di una funzione presente già da molto tempo in vBulletin ma che non avevamo mai attivato. Crediamo che sia molto utile e quindi abbiamo deciso di attivarla.

Se la vostra password è più vecchia di 90 giorni (immagino la quasi totalità degli scritti), quando tenterete di loggarvi il sistema vi accoglierà con questo messaggio:



cliccate sul link "questa pagina" e seguite le istruzioni, ovvero inserite la vecchia password e quella nuova negli spazi.

Per essere più precisi, nel primo campo dovrete inserire la vecchia password e negli altri due campi quella nuova, ovvero la nuova password dovrete scriverla DUE VOLTE e in maniera identica nel secondo e terzo campo



Se non ne avete bisogno, non modificate il campo "email" e lasciate quella inclusa nel vostro profilo.

Premete il pulsante Salva modifiche e attendete l'aggiornamento della pagina.

Se avete domande siamo a disposizione.

Emidio Frattaroli
www.avmagazine.it

[wondermax]

alla faccia, la mia pass, era vecchia di 1080 giorni,come passa il tempo.

[lupoal]

quindi in pratica mi tocca ogni 90 giorni ri-immettere nuovamente la mia password? perchè mica si potrà pensare che ogni 3 mesi uno si inventa una password nuova e poi riesce anche a tenersele tutte a memoria eh...

posso chiedere, se è lecito e visto che vengo volente o nolente coinvolto, quale sia l'utilità aggiuntiva di questo ennesimo micro-tormento telematico? (visto che già ci sono le banche ... le assicurazioni ... la telefonia ... i siti di e-commerce ...linkedin ... i celllulari con i vari PIN e PUC ... etc etc che hanno tutti "esigenze" di password)

perdona la curiosità ... ovviamente ottempero (cit. StarTrek Voyager - 7 di 9) ma almeno capisco perchè

[Alyosha]

E' senz'altro un mio limite ma proprio mi sfugge lo scopo di questa richiesta.
90 giorni poi sono pochissimi.

[Nordata]

E' proprio lo stesso motivo per cui i siti delle di Carte di Credito e/o di molte Banche chiedono il cambio password periodicamente (o bloccano l'accesso se la password è più vecchia di un certo periodo): ovvero per la sicurezza del cliente, più una password rimane in circolazione e maggiori sono i rischi che venga violata.

E' tutto solo per la vostra sicurezza, conoscendo la vostra password un eventuale intruso può leggere i vostri MP (riuscendo magari a risalire alla vostra identità) oltre che scrivere sul forum a vostro nome, non molto altro, sta a voi valutare l'importanza, in ogni caso suggerirei di non usare la pwd del forum anche per siti importanti come i citati Carta di Credito/Banca ecc.

Ciao

[Maxt75]

Capisco benissimo le scelte dei gestori dei vari servizi, di garantire la sicurezza dei propri clienti, fruitori..e tutti quanti.
La cosa però sta diventando lentamente ingestibile.
Troppe password e il tutto si complica quando ciascun sito vuole maiuscole per forza o punteggiatura varia.
Google non aveva in mente qualcosa per le password ?
Dove lavoro io..non vi dico, la cosa sfiora il ridicolo, vien voglia di prendere il PC e scagliarlo dalla finestra insieme a chi ha pensato a password temporizzate ecc..

[cinemaniaco]

diventa una scocciatura, una volta l'anno sarebbe meglio.

[Emidio Frattaroli]

Che ne dite di 6 mesi?

[AlbertoPN]

Che ne dite di 6 mesi?

Mi sembra un giusto compromesso.

[lupoal]

....in ogni caso suggerirei di non usare la pwd del forum anche per siti importanti come i citati Carta di Credito/Banca ecc.......[CUT]

certo che no, infatti sta proprio li il problema... ho [edit - cambiato idea sul contenuto del mio messaggio]...

conservo, e trasporto quotidianalmente, un cellulare nokia (NON uno smartphone) che uso solo come registro delle psw che non riesco più a tenere a mente (che mica posso metterle nello smart.. se venisse violato rimarrei in mutande) ... che rottura di maroni

comunque temo di aver capito, ci sarà la solita leggina del ***** italiana che assimila la sicurezza del trattamento dati di un sito come questo a quella necessaria/richiesta ad una banca (o simili)... e così l'Emidio è obbligato a gestire/implementare/attivare sto tormento pena andare lui nei casini in prima persona

se ci ho preso, e temo di si, non fa che rafforzarmisi l'istinto di fuga da sto bel paese ... mah

[xtale]

Concordo con i sei mesi, almeno!

[Alby_ao]

Anche per me almeno sei mesi per la validità della pwd.

[fasix]

Anche per me almeno 6 mesi. Thanks

[Firestart]

Mi sembra un giusto compromesso.

Purtroppo no, sei mesi sono un compromesso ma sono il compromesso sbagliato

Spiego meglio, visto che lavoro nel campo... nel momento in cui si affronta una possibile vulnerabilità di sicurezza bisogna prima di tutto avere ben chiaro quale sia il problema, successivamente è necessario avere l'accortezza di valutare i vari interventi possibili e capire di preciso quali vantaggi (e, purtroppo, svantaggi) tali interventi abbiano.

Nel nostro caso devo ragionare a ritroso, partire dalla soluzione proposta (scadenza password a 90 giorni) e dedurre che il problema che si cerca di affrontare è quello del rischio che - a causa di un malware lato client o molto meno probabilmente una vulnerabilità lato server - una password venga sottratta al proprietario.

Un attacco di questo tipo porta l'eventuale malintenzionato ad ottenere una mole di dati (coppie utente-password) consistente ma anche una gran quantità di "rumore", ovvero dati non effettivamente utili ai fini dell'attacco che potrebbe attuare. I tre mesi sono proprio la quantità di tempo che statisticamente è stata ritenuta ragionevole (in un ambito di sicurezza bassa come un forum online, ovviamente... in ambiti di maggior sicurezza si usano già i 30 giorni o meno, fino ad arrivare all'estremo delle password usa e getta) perchè il malintenzionato di cui sopra "spulci" i dati che ha raccolto e inizi ad effettuare il vero e proprio attacco (furto d'identità, in questo caso).

In buona sostanza, facendovi cambiare la password ogni 90 giorni si considera statisticamente ragionevole che questa venga cambiata in un tempo utile affinchè non possano essere effettuati attacchi, ovvero dopo che effettivamente la password vi è stata sottratta ma prima che questa venga utilizzata.

Capisco benissimo quanto possa essere noioso dover cambiare una password ogni 90 giorni, ma proporre di farlo ogni 6 mesi lo rende quasi completamente inutile. Va in sostanza a farsi benedire tutto il ragionamento statistico di cui sopra, e a questo punto tanto vale non farla cambiare affatto, tanto quando la cambierete probabilmente questa sarà già stata usata.

Sia chiaro, una soluzione perfettamente plausibile è anche "lasciar perdere" e lasciare le cose come stavano fino a qualche giorno fa... è il livello di sicurezza che la maggior parte dei forum online utilizzano ed effettivamente non vedo per quale motivo avmagazine dovrebbe essere più soggetto rispetto ad altri ad eventuali attacchi di questo tipo.

La "via di mezzo" proposta io però la scarterei...

[1251]

mah, se proprio uno ha problemi a cambiare spesso password, basta fare come faccio io che sono pigro e smemorato: ho cambiato la password, come da richiesta, poi sono entrato nel mio profilo e ho ricambiato la password rimettendo la mia solita precedente, tutto qui.