“Quando gli utenti vengono costretti a creare password difficili da ricordare, troppo spesso le annotano dove gli altri possono vederle”, ha scritto Aaron Margosis di Microsoft in un post sul blog. Peggio ancora, scrive Margosis, quando le persone sono costrette a cambiare le loro password, troppo spesso fanno una “piccola e prevedibile alterazione a quella già esistente”, o lo dimenticano.
Microsoft non è il primo a cercare di far suonare questo allarme. Esperti di sicurezza e persone in tutto il mondo si sono lamentati per anni che le modifiche obbligatorie delle password non valgono la pena. Due anni fa, la Federal Trade Commission (FTC) ha detto che era giunto il momento di ripensare a questa pratica, scrivendo in un post sul blog “è importante valutare i rischi e i benefici per la vostra organizzazione, nonché modi alternativi per aumentare la sicurezza“. E questo dopo che l’Istituto Nazionale degli Standard e della Tecnologia (NIST) ha criticato la pratica un decennio fa.
Le raccomandazioni di Windows non bastano
Il post sul blog di Microsoft ha introdotto un set più ampio di impostazioni di sicurezza “di base” che Microsoft sta considerando di consigliare alle società che utilizzano il proprio software di gestione.
Sfortunatamente, la società non deve affrontare solo il parere degli utenti. Alla fine, spetterà comunque al team tecnico della tua azienda se ascoltare la ragione o continuare a vivere nell’età della pietra della sicurezza informatica.
Vale la pena notare che Microsoft non sta cambiando le raccomandazioni sul modo in cui creiamo le password. In effetti, il gigante tecnologico raccomanda alle aziende di vietare sempre le tipiche password e costringere i dipendenti a utilizzare l’autenticazione multifattoriale.