Perchè si dovrebbe limitare il numero di cambiamenti dello username, ma non quello delle password? I frequenti aggiornamenti delle password tengono lontani i cracker, che tentano continuamente di rubare dati strategici. Per tale motivo, questo procedim …
Perchè si dovrebbe limitare il numero di cambiamenti dello
username, ma non quello delle password?
I frequenti
aggiornamenti delle password tengono lontani i cracker, che tentano continuamente
di rubare dati strategici.
Per tale motivo, questo procedimento dovrebbe
fare parte di tutte le policy di sicurezza dei dati e andrebbe fatto
rigorosamente rispettare.
E’ meglio quindi che gli utenti aggiornino con regolarità le
le password. Al contrario, le username dovrebbero
essere controllate rigorosamente perché un loro cambiamento potrebbe creare
diversi problemi al sistema di identificazione.
Lo user ID
identifica univocamente ogni singolo utente, una password no. Una password è un
meccanismo di autenticazione, non un identificativo.
Ogni utente che accede
al vostro sistema dovrebbe avere uno user ID distinto e specifico: non ce ne
dovrebbero essere mai due uguali.
Dato che le password sono segrete, due
utenti differenti, ovvero con differenti user ID, potrebbero in teoria decidere
di usare la stessa password senza compromettere il sistema di identificazione.
Questo perché, malgrado abbiano la stessa password, hanno ancora i propri user
ID, che sono diversi, e quindi, non possono accedere ciascuno all’account
dell’altro. D’altra pare, se agli utenti viene permesso di cambiare la loro user
ID, un malintenzionato potrebbe generare un account fantasma, ossia un utente
con due ID: uno per un uso legittimo e uno con un accesso non autorizzato al
sistema per scopi dolosi.
Ma,
verrebbe da pensare, se il prevedere frequenti
cambiamenti di password rende le credenziali di accesso più sicure, non dovrebbe
valer altrettanto per i cambiamenti degli user name?
Se
pensate alla differenza fra user ID e password, vi rendete immediatamente conto
che la cosa non può essere vera. Sebbene siano usati insieme, sono molto
differenti. Uno (user ID) è un identificativo, l’altra (password) un
autenticatore. Di conseguenza, una buona pratica per l’aggiornamento delle
credenziali di registrazioni deve permettere i cambiamenti delle password, ma
non quelli degli user ID.
