Mentre la user ID è un identificativo, la password è un meccanismo di autenticazione che va cambiata con regolarità.
I frequenti cambiamenti delle password tengono lontani gli hacker, che
tentano continuamente di rubare dati strategici. Per tale motivo, questo
procedimento dovrebbe fare parte di tutte le policy di sicurezza delle
informazioni e andrebbe fatto rigorosamente rispettare. Sarebbe quindi bene
permettere agli utenti di cambiare spesso la loro password.
Al contrario, gli username dovrebbero essere controllati rigorosamente perché
un loro cambiamento potrebbe creare diversi problemi al sistema di
identificazione.
La user ID infatti identifica univocamente ogni singolo utente, una password
no. Una password è un meccanismo di autenticazione, non un identificativo. Ogni
utente che accede al vostro sistema dovrebbe avere uno user ID distinto e
specifico: non ce ne dovrebbero essere mai due uguali.
Dato che le password sono segrete, due utenti differenti, ovvero con
differenti user ID, potrebbero in teoria decidere di usare la stessa password
senza compromettere il sistema di identificazione. Questo perché, malgrado
abbiano la stessa password, hanno ancora i propri user ID, che sono diversi, e
quindi, non possono accedere ciascuno all’account dell’altro.
D’altra pare, se agli utenti viene permesso di cambiare la loro user ID, un
malintenzionato potrebbe generare un account fantasma, ossia un utente con due
ID: uno per un uso legittimo e uno con un accesso non autorizzato al sistema per
scopi dolosi.
Ma, verrebbe da pensare, se concedere frequenti cambiamenti di password rende
le credenziali di accesso più sicure, non dovrebbe valer altrettanto per i
cambiamenti degli user name?
Se pensate alla differenza fra user ID e password, vi rendete immediatamente
conto che la cosa non può essere vera. Sebbene siano usati insieme, sono molto
differenti. Uno (user ID) è un identificativo, l’altra (password) un
autenticatore. Di conseguenza, una buona pratica per l’aggiornamento delle
credenziali di registrazioni deve permettere i cambiamenti delle password, ma
non quelli degli user ID.
