UNC-Chapel Hill sta passando a un sistema di cambiamento delle password Onyen a una volta all’anno piuttosto che ogni 91 giorni. Per la comodità di cambiare la propria password solo una volta all’anno, i membri della comunità del campus dovranno creare password che sono più difficili da decifrare per i criminali.
In un post ospite, Alex Everett, IT Security Architect con l’Information Security Office all’interno dell’ITS, discute il cambiamento dal punto di vista della sicurezza informatica. Spiega cosa rende questo nuovo sistema più sicuro e allo stesso tempo più facile da usare.
A partire dal 13 maggio, ITS Identity Management rilascerà un importante aggiornamento al servizio Onyen. L’aggiornamento consentirà agli elettori di utilizzare la stessa password per un massimo di un anno, rimuovendo tutti i requisiti di carattere che sono in atto oggi.
Crediamo che questo non solo renderà l’esperienza dell’utente migliore, ma anche una serie di password leggermente più forti, poiché il servizio è ora più strettamente allineato con le raccomandazioni del National Institute of Standards and Technology e del nostro stesso Dipartimento di Informatica. Tuttavia, 2-Step o a due fattori deve continuare ad essere una componente chiave dell’autenticazione all’Università in quanto protegge dalla nostra più grande minaccia alle password – il phishing.
Per molto tempo, abbiamo chiesto ai nostri elettori di memorizzare password che contengono numeri, caratteri speciali e lettere piuttosto che permettere combinazioni di parole, frasi o frasi che sono altrettanto forti e molto più memorabili. Un estratto da un fumetto popolare cerca di catturare questo.
Tecnologie di autenticazione più sicure
Abbiamo anche posto più responsabilità per la forza delle password sull’elettore piuttosto che sulla limitazione degli attacchi di indovinare le password e sulla sicurezza dei database di password. Tuttavia, negli ultimi anni i nostri colleghi di ITS Infrastructure & Operations hanno fatto progressi su questi fronti, compreso il completamento di una valutazione dei rischi e l’adozione di tecnologie di autenticazione più sicure. Come tale, i nostri rischi principali per le password di Onyen provengono da attacchi di phishing e, in misura minore, da attacchi di guessing online, specialmente quelli che utilizzano credenziali compromesse trovate in violazioni di password esterne. È importante astenersi dall’utilizzare la propria password Onyen per gli account non universitari, come i social media e le banche. I gestori di password come LastPass rappresentano un modo semplice per gestire una moltitudine di credenziali in modo sicuro.
Un’anteprima di cosa aspettarsi
Questo è un esempio di ciò che gli elettori vedranno quando cambieranno la loro password a partire da maggio. Ti incoraggiamo a impostare una password “molto forte”.
Mentre la password viene digitata, il servizio valuta il numero di tentativi che un attaccante deve fare. Questo servizio si basa su un algoritmo progettato da Daniel Wheeler di Dropbox che cerca di imitare il modo in cui operano gli attaccanti.
Piuttosto che stimare la complessità basandosi solo sulla lunghezza e sui set di caratteri, stima la complessità in base a una miriade di fattori, tra cui la disposizione della tastiera, la ripetizione, la frequenza delle parole nelle lingue, le sostituzioni di caratteri e la forza bruta. Come tale, riconosce “C@rol1n@” come una semplice sostituzione di una parola comune e la valuta come molto più indovinabile di “redandcold”, una semplice combinazione di tre parole che il servizio permette. Questo sembra un po’ controintuitivo, ma anche queste brevi password sono forti come molte delle password che i nostri elettori usano oggi.
Il servizio controllerà anche la password inviata rispetto a una lista di password esposte conosciute da violazioni di password pubbliche. Inoltre, richiederà che la nuova password differisca significativamente dalla composizione della password precedente.
Le esigenze variano a seconda dell’applicazione
Infine, voglio notare che una password “forte” o “molto forte” permessa dal servizio Onyen potrebbe non essere abbastanza forte da essere utilizzata in altri contesti. Per esempio, se si cripta un file e lo si mette su un sistema di archiviazione a cui chiunque all’università può accedere, quel file può essere copiato e craccato offline senza alcun limite. Questo è anche simile a una password locale su un server di computer che permette migliaia di accessi (SSH, RDP o web) all’ora senza alcun limite di velocità o monitoraggio. Per questi usi e anche per gli account di servizio, raccomandiamo una password lunga, con una lunghezza di 17 caratteri o superiore, secondo la recente revisione di Passwords, Pass-phrases and Other Authentication Methods Standard.