Spinotti

Scadenza password: come fare

Emidio Frattaroli

Emidio Frattaroli

Administrator
Staff Forum
Oggi abbiamo attivato una funzione chiamata "scadenza password" che obbliga gli iscritti a cambiare la propria password ogni 90 giorni. Si tratta di una funzione presente già da molto tempo in vBulletin ma che non avevamo mai attivato. Crediamo che sia molto utile e quindi abbiamo deciso di attivarla.

Se la vostra password è più vecchia di 90 giorni (immagino la quasi totalità degli scritti), quando tenterete di loggarvi il sistema vi accoglierà con questo messaggio:

2014_08_01_password_01.png


cliccate sul link "questa pagina" e seguite le istruzioni, ovvero inserite la vecchia password e quella nuova negli spazi.

Per essere più precisi, nel primo campo dovrete inserire la vecchia password e negli altri due campi quella nuova, ovvero la nuova password dovrete scriverla DUE VOLTE e in maniera identica nel secondo e terzo campo

2014_08_01_password_02.png


Se non ne avete bisogno, non modificate il campo "email" e lasciate quella inclusa nel vostro profilo.

Premete il pulsante Salva modifiche e attendete l'aggiornamento della pagina.

Se avete domande siamo a disposizione.

Emidio Frattaroli
www.avmagazine.it
 
Ultima modifica da un moderatore:
quindi in pratica mi tocca ogni 90 giorni ri-immettere nuovamente la mia password? perchè mica si potrà pensare che ogni 3 mesi uno si inventa una password nuova e poi riesce anche a tenersele tutte a memoria eh...

posso chiedere, se è lecito e visto che vengo volente o nolente coinvolto, quale sia l'utilità aggiuntiva di questo ennesimo micro-tormento telematico? (visto che già ci sono le banche ... le assicurazioni ... la telefonia ... i siti di e-commerce ...linkedin ... i celllulari con i vari PIN e PUC ... etc etc che hanno tutti "esigenze" di password)

perdona la curiosità ... ovviamente ottempero (cit. StarTrek Voyager - 7 di 9) ma almeno capisco perchè
 
Ultima modifica:
E' senz'altro un mio limite ma proprio mi sfugge lo scopo di questa richiesta. :confused:
90 giorni poi sono pochissimi.
 
E' proprio lo stesso motivo per cui i siti delle di Carte di Credito e/o di molte Banche chiedono il cambio password periodicamente (o bloccano l'accesso se la password è più vecchia di un certo periodo): ovvero per la sicurezza del cliente, più una password rimane in circolazione e maggiori sono i rischi che venga violata.

E' tutto solo per la vostra sicurezza, conoscendo la vostra password un eventuale intruso può leggere i vostri MP (riuscendo magari a risalire alla vostra identità) oltre che scrivere sul forum a vostro nome, non molto altro, sta a voi valutare l'importanza, in ogni caso suggerirei di non usare la pwd del forum anche per siti importanti come i citati Carta di Credito/Banca ecc.

Ciao
 
Capisco benissimo le scelte dei gestori dei vari servizi, di garantire la sicurezza dei propri clienti, fruitori..e tutti quanti.
La cosa però sta diventando lentamente ingestibile.
Troppe password e il tutto si complica quando ciascun sito vuole maiuscole per forza o punteggiatura varia.
Google non aveva in mente qualcosa per le password ?
Dove lavoro io..non vi dico, la cosa sfiora il ridicolo, vien voglia di prendere il PC e scagliarlo dalla finestra insieme a chi ha pensato a password temporizzate ecc..
 
nordata ha detto:
....in ogni caso suggerirei di non usare la pwd del forum anche per siti importanti come i citati Carta di Credito/Banca ecc.......[CUT]
Clicca per espandere...

certo che no, infatti sta proprio li il problema... ho [edit - cambiato idea sul contenuto del mio messaggio]...

conservo, e trasporto quotidianalmente, un cellulare nokia (NON uno smartphone) che uso solo come registro delle psw che non riesco più a tenere a mente (che mica posso metterle nello smart.. se venisse violato rimarrei in mutande) ... che rottura di maroni :(

comunque temo di aver capito, ci sarà la solita leggina del ***** italiana che assimila la sicurezza del trattamento dati di un sito come questo a quella necessaria/richiesta ad una banca (o simili)... e così l'Emidio è obbligato a gestire/implementare/attivare sto tormento pena andare lui nei casini in prima persona

se ci ho preso, e temo di si, non fa che rafforzarmisi l'istinto di fuga da sto bel paese ... mah
 
Ultima modifica:
Alberto Pilot ha detto:
Mi sembra un giusto compromesso.
Clicca per espandere...

Purtroppo no, sei mesi sono un compromesso ma sono il compromesso sbagliato :)

Spiego meglio, visto che lavoro nel campo... nel momento in cui si affronta una possibile vulnerabilità di sicurezza bisogna prima di tutto avere ben chiaro quale sia il problema, successivamente è necessario avere l'accortezza di valutare i vari interventi possibili e capire di preciso quali vantaggi (e, purtroppo, svantaggi) tali interventi abbiano.

Nel nostro caso devo ragionare a ritroso, partire dalla soluzione proposta (scadenza password a 90 giorni) e dedurre che il problema che si cerca di affrontare è quello del rischio che - a causa di un malware lato client o molto meno probabilmente una vulnerabilità lato server - una password venga sottratta al proprietario.

Un attacco di questo tipo porta l'eventuale malintenzionato ad ottenere una mole di dati (coppie utente-password) consistente ma anche una gran quantità di "rumore", ovvero dati non effettivamente utili ai fini dell'attacco che potrebbe attuare. I tre mesi sono proprio la quantità di tempo che statisticamente è stata ritenuta ragionevole (in un ambito di sicurezza bassa come un forum online, ovviamente... in ambiti di maggior sicurezza si usano già i 30 giorni o meno, fino ad arrivare all'estremo delle password usa e getta) perchè il malintenzionato di cui sopra "spulci" i dati che ha raccolto e inizi ad effettuare il vero e proprio attacco (furto d'identità, in questo caso).

In buona sostanza, facendovi cambiare la password ogni 90 giorni si considera statisticamente ragionevole che questa venga cambiata in un tempo utile affinchè non possano essere effettuati attacchi, ovvero dopo che effettivamente la password vi è stata sottratta ma prima che questa venga utilizzata.

Capisco benissimo quanto possa essere noioso dover cambiare una password ogni 90 giorni, ma proporre di farlo ogni 6 mesi lo rende quasi completamente inutile. Va in sostanza a farsi benedire tutto il ragionamento statistico di cui sopra, e a questo punto tanto vale non farla cambiare affatto, tanto quando la cambierete probabilmente questa sarà già stata usata.

Sia chiaro, una soluzione perfettamente plausibile è anche "lasciar perdere" e lasciare le cose come stavano fino a qualche giorno fa... è il livello di sicurezza che la maggior parte dei forum online utilizzano ed effettivamente non vedo per quale motivo avmagazine dovrebbe essere più soggetto rispetto ad altri ad eventuali attacchi di questo tipo.

La "via di mezzo" proposta io però la scarterei...
 
mah, se proprio uno ha problemi a cambiare spesso password, basta fare come faccio io che sono pigro e smemorato: ho cambiato la password, come da richiesta, poi sono entrato nel mio profilo e ho ricambiato la password rimettendo la mia solita precedente, tutto qui.
 
1251 ha detto:
mah, se proprio uno ha problemi a cambiare spesso password, basta fare come faccio io che sono pigro e smemorato: ho cambiato la password, come da richiesta, poi sono entrato nel mio profilo e ho ricambiato la password rimettendo la mia solita precedente, tutto qui.
Clicca per espandere...

ovviamente liberissimi di fare questo... solo che questo annulla completamente il vantaggio del cambio password, mantenendone comunque parte degli svantaggi. A questo punto, se la maggior parte degli utenti si ritrovasse a utilizzare uno stratagemma come questo per "aggirare il problema", bisognerebbe davvero chiedersi se non sarebbe stato più sensato lasciare tutto come prima, lasciando a chiunque la responsabilità sulla manutenzione delle proprie password...
 
ma infatti mi piacerebbe sapere a chi potrebbe fregargliene se gli prendono i dati nel forum... io nel mio profilo personale non ho inserito niente di niente, che ci trovano di utile?

boh... spero le motivazioni di fondo siano be diverse

@1251 ... senza fare tanti giri ti bastava digitare tre volte la tua solita psw direttamente nella prima schermata di richiesta ed eri a posto ;)
 
Ultima modifica:
Io sono dell'idea che si questioni sempre per nulla.
Altrove avreste visto comparire al login, "devi cambiare la PWD per effettuare il login, ricordati che ogni 90 giorni dovrai inserirne una nuova". punto.
Magicamente nessuno si sarebbe lamentato.

Nel nostro caso Emidio ha voluto fornire ulteriori spiegazione e lasciare una porta aperta a chi avesse avuto difficoltà nel farlo.

Il risultato è che ognuno vorrebbe il forum personalizzato magari chi con scadenza ad ore e chi addirittura senza PWD. :)

L'amministratore ed il suo staff tecnico, hanno ritenuto opportuno inserire questa formula per tutelare in miglior modo l'utente, che ogni 3 mesi avrà l'onere di doversi inventare una PWD nuova.
 
Ultima modifica:
Si anche sei mesi non sarebbe male, già ho un intera agenda strapiena di password che devo nascondere non si sa dove.
Inoltre credo che poi ognuno abbia il diritto di avere la propria dose di responsabilità. Insomma siam grandi per fumare e sapere che ci viene il cancro vorrà dire che lo saremo anche sul cambio password dopo i sei mesi :D
 
Non vedo l'utilità di un cambio password per un forum, 3 o 6 mesi non fa differenza.
Questo sito non è una banca, non ho codici segreti, non mi rubano nulla, il rischio collegato all'hacking della password è pertanto bassissimo.
Faccio presente che io sono stato oggetto di un furto d'identità proprio su AVM, cioè un pazzo è riuscito ad entrare nel mio profilo e ha cambiato la password. La cosa si è risolta grazie ad un pronto intervento dei moderatori, ma come vedete sono ancora vivo e vegeto.

O forse non sono più io a scrivere, ma un alieno con il mio nick, in stile invasione degli ultracorpi :D.
 
Devi accedere o registrarti per rispondere qui.
Indietro
Top

Expert Imaging & Sound Association

AV Magazine è membro EISA dal 2019
all'interno del Mobile Devices Expert Group

Per informazioni: www.eisa.eu

Legali - Privacy - Privacy settings
Cookie - Pubblicità - Redazione

AV Raw s.n.c. P.iva: 02040960672
AV Magazine - Testata giornalistica con registrazione Tribunale di Teramo n. 527 del 22.12.2004
Direttore Responsabile: Emidio Frattaroli
Editore: AV Raw s.n.c. - Iscrizione ROC n. 33221

Copyright © 2005 - 2026. È vietata la riproduzione, anche solo in parte, di contenuti e grafica