Cambio password ogni 90 giorni: una necessità di sicurezza o un'illusione?
by Antonello Camilotto
Una delle raccomandazioni più comuni che ci viene data è quella di cambiare le password regolarmente, solitamente ogni 90 giorni. L'idea dietro a questa pratica è semplice: se una password è compromessa, cambiarla a intervalli regolari dovrebbe ridurre il rischio di accessi non autorizzati. Ma questa misura è veramente efficace o si tratta solo di un'illusione di sicurezza?
La logica dietro il cambio frequente delle password
Il concetto di cambiare le password ogni 90 giorni nasce con l'intento di limitare i danni in caso di attacco informatico. Se un hacker riesce a scoprire una password, il tempo che intercorre prima che la password venga cambiata è limitato, riducendo le possibilità che la violazione possa essere sfruttata per un lungo periodo. Inoltre, cambia la "routine" degli utenti, rendendo più difficile per i cybercriminali sfruttare le informazioni compromesse.
Problemi legati al cambio frequente delle password
Nonostante la sua apparente efficacia, la pratica del cambio forzato delle password ha suscitato diverse critiche negli ultimi anni. Ecco alcune delle principali problematiche:
- Complessità crescente delle password
Quando si è costretti a cambiare frequentemente la propria password, molti utenti tendono a scegliere password più semplici e facili da ricordare, rendendo più probabile che queste vengano compromesse. Inoltre, per non dimenticare le nuove combinazioni, si può essere tentati di scrivere le password o usare la stessa combinazione per più account, aumentando così il rischio di attacchi a catena. - Impatto sulla produttività
Il cambio continuo delle password può creare frustrazione tra gli utenti. Molti lavoratori, ad esempio, devono gestire una molteplicità di credenziali per differenti applicazioni e servizi, il che può rallentare le attività quotidiane e causare errori umani, come la scrittura di password sbagliate o la perdita di accesso a sistemi cruciali. - Effetto placebo sulla sicurezza
L'idea che il cambio regolare delle password sia una panacea per la sicurezza informatica può portare a una falsa sensazione di protezione. In realtà, la sicurezza di un sistema dipende da molti altri fattori, come la gestione delle credenziali, la protezione contro il phishing, l'uso di autenticazione multifattore (MFA) e la protezione da vulnerabilità nei software. Il cambio delle password non risolve questi problemi fondamentali. - Password compromesse prima del cambio
Se una password è stata compromessa, il cambiamento ogni 90 giorni non garantisce che l'attaccante non abbia già sfruttato l'accesso durante il periodo in cui la password era valida. Il danno potrebbe essere stato fatto prima che l'utente avesse la possibilità di cambiarla.
Alternative al cambio regolare delle password
Con l'evoluzione delle minacce informatiche, molte organizzazioni e esperti di sicurezza stanno rivedendo l'efficacia del cambio periodico delle password. Tra le alternative più promettenti ci sono:
- Autenticazione multifattore (MFA)
L'adozione dell'autenticazione a più fattori è una delle soluzioni più sicure. La MFA aggiunge uno strato di protezione extra, richiedendo non solo la password, ma anche un altro fattore di autenticazione (ad esempio, un codice inviato via SMS o generato da un'app di autenticazione). Questo rende molto più difficile per gli hacker accedere agli account anche se hanno la password corretta. - Gestori di password
Utilizzare un gestore di password per creare e conservare password complesse e uniche per ogni account può ridurre significativamente il rischio di attacchi. Questi strumenti permettono agli utenti di gestire in sicurezza le loro credenziali senza doverle ricordare tutte, e senza doversi affidare a password deboli o facilmente indovinabili. - Monitoraggio e gestione attiva degli accessi
Un'altra strategia utile consiste nel monitorare costantemente gli accessi a sistemi e account, utilizzando strumenti di rilevamento delle anomalie per identificare attività sospette. In questo modo, anche se una password viene compromessa, gli amministratori possono intervenire rapidamente per bloccare l'accesso non autorizzato. - Educazione degli utenti
La formazione continua degli utenti sulle best practice in tema di sicurezza, come il riconoscimento delle email di phishing e l'adozione di password forti, è una delle misure più efficaci per ridurre i rischi. Gli utenti consapevoli sono meno inclini a cadere in trappole di social engineering e sono più in grado di adottare abitudini sicure.
Il cambio regolare delle password ogni 90 giorni non è più considerato da molti esperti di sicurezza come una misura sufficiente per proteggere adeguatamente gli utenti e le organizzazioni. Sebbene possa avere un ruolo limitato in alcuni contesti, da solo non è sufficiente a proteggere gli account da minacce sofisticate.
È essenziale adottare un approccio più completo alla sicurezza, che includa l'autenticazione multifattore, l'uso di password forti e un monitoraggio costante degli accessi. Solo così si può garantire una protezione adeguata contro le minacce informatiche sempre più avanzate.
© 𝗯𝘆 𝗔𝗻𝘁𝗼𝗻𝗲𝗹𝗹𝗼 𝗖𝗮𝗺𝗶𝗹𝗼𝘁𝘁𝗼
Tutti i diritti riservati | All rights reserved
Informazioni Legali
I testi, le informazioni e gli altri dati pubblicati in questo sito nonché i link ad altri siti presenti sul web hanno esclusivamente scopo informativo e non assumono alcun carattere di ufficialità.
Non si assume alcuna responsabilità per eventuali errori od omissioni di qualsiasi tipo e per qualunque tipo di danno diretto, indiretto o accidentale derivante dalla lettura o dall'impiego delle informazioni pubblicate, o di qualsiasi forma di contenuto presente nel sito o per l'accesso o l'uso del materiale contenuto in altri siti.
Negli ultimi trent’anni, la rivoluzione digitale ha modificato profondamente non solo le nostre abitudini quotidiane, ma anche il modo in cui ci esprimiamo. Il linguaggio del Web — fatto di abbreviazioni, emoji, hashtag e neologismi — ha introdotto un nuovo codice comunicativo, capace di fondere oralità e scrittura in una forma del tutto inedita. Con l’avvento dei social network, la comunicazione è diventata più immediata, sintetica e visiva. Le parole si accompagnano a immagini, gif e simboli che sostituiscono intere frasi o stati d’animo. Un semplice “😂” può raccontare più di una battuta ben scritta, mentre un hashtag come #mood racchiude in poche lettere una sensazione condivisa. È il trionfo della comunicazione rapida, dell’istantaneità, dove l’importante non è solo cosa si dice, ma come lo si rappresenta. La rete ha anche favorito la nascita di un linguaggio globale, ibrido e in continua evoluzione. Termini inglesi, abbreviazioni e sigle — da LOL a DM, da follower a streaming — sono entrati nel lessico quotidiano di milioni di persone, superando barriere linguistiche e culturali. Tuttavia, questa evoluzione non è priva di critiche: secondo molti linguisti, la semplificazione del linguaggio online rischia di ridurre la complessità del pensiero e di appiattire le sfumature emotive. D’altro canto, la rete ha anche dato voce a chi prima non ne aveva. Forum, blog e piattaforme social hanno permesso a individui e comunità di esprimersi, raccontarsi e costruire nuove forme di identità collettiva. Il linguaggio del Web non è dunque solo una questione di parole, ma anche di partecipazione, di democrazia comunicativa, di libertà espressiva. In definitiva, il linguaggio del Web è lo specchio di un’epoca in costante mutamento: dinamico, fluido, inclusivo, ma anche frammentato e veloce. Come ogni linguaggio, riflette la società che lo usa — e oggi quella società è sempre più connessa, globale e digitale. La sfida sarà imparare a usare questo nuovo codice senza perdere la profondità e la ricchezza che da sempre caratterizzano la comunicazione umana.
I chatbot basati sull’intelligenza artificiale stanno diventando sempre più sofisticati e accessibili, tanto che molte persone iniziano a chiedersi se possano davvero sostituire un professionista della salute mentale. La risposta, tuttavia, è no: non è una buona idea sostituire il proprio psicologo con un’intelligenza artificiale, almeno con le tecnologie attualmente disponibili. L’AI, per quanto avanzata, rimane priva di empatia reale. Può simulare comprensione ed elaborare risposte coerenti, ma non prova emozioni, non percepisce il tono della voce, lo sguardo o la postura dell’interlocutore, tutti elementi fondamentali nella relazione terapeutica. La psicoterapia non è solo scambio di parole, ma un processo complesso che si fonda sulla fiducia, sull’intuizione e sulla capacità umana di cogliere segnali sottili, spesso inconsci. Ciò non significa che i chatbot non possano avere un ruolo nel campo del benessere psicologico. In contesti di emergenza o in aree dove i servizi di salute mentale sono carenti o inaccessibili, gli strumenti di AI “terapeutici” possono offrire un supporto temporaneo, una sorta di “primo soccorso emotivo”. Possono aiutare a gestire momenti di ansia, solitudine o stress, fornendo strategie di coping o spunti di riflessione. Tuttavia, si tratta di un sostegno limitato e non paragonabile a un percorso psicologico guidato da un esperto. I rischi aumentano quando si utilizzano chatbot “generici”, come ChatGPT, per scopi terapeutici. Questi modelli non sono progettati per affrontare problemi di salute mentale e, in alcuni casi, hanno mostrato comportamenti problematici: risposte inappropriate, rafforzamento di convinzioni pericolose o addirittura incoraggiamento involontario di pensieri dannosi. In definitiva, l’intelligenza artificiale può essere un valido strumento di supporto o di orientamento, ma non un sostituto del contatto umano. Il dialogo con uno psicologo resta insostituibile perché basato sull’empatia, sulla comprensione profonda e sulla capacità di adattarsi alla complessità unica di ogni individuo.
Gary McKinnon, noto anche come "Solo" (Glasgow, 10 febbraio 1966), è un programmatore e hacker britannico accusato dalle autorità statunitensi di aver compiuto "la più grande intrusione informatica mai registrata nei sistemi di difesa". Catturato nel Regno Unito dopo una richiesta di estradizione dagli Stati Uniti — considerata da alcuni una persecuzione nei confronti di un capro espiatorio —, nel 2012 il Regno Unito negò l’estradizione verso gli USA. Affetto dalla sindrome di Asperger, McKinnon è ritenuto da molti una delle menti informatiche più brillanti dei nostri tempi. Ha dichiarato di essere motivato dalla ricerca di prove sull’esistenza degli UFO, sostenendo di essere certo che i militari statunitensi detenessero tecnologia per l’antigravità e che il governo americano cercasse di sopprimere la diffusione della cosiddetta "energia libera". Da solo, McKinnon scansionò migliaia di computer governativi e individuò gravi falle di sicurezza in molti di essi. Tra febbraio 2001 e marzo 2002 violò quasi un centinaio di macchine appartenenti all’Esercito, alla Marina, all’Aeronautica, alla NASA e al Dipartimento della Difesa. Per mesi si muovette all’interno di quei sistemi, copiando file e password; in un episodio paralizzò la rete dell’esercito americano a Washington, DC, rendendo inutilizzabili circa 2.000 computer per tre giorni. Nonostante le sue competenze, non riuscì a nascondere le tracce e fu individuato in un piccolo appartamento a Londra. Nel marzo 2002 la National Hi-Tech Crime Unit del Regno Unito lo arrestò: all’epoca era un tranquillo scozzese di 36 anni, con tratti che qualcuno descriveva come elfico e sopracciglia pronunciate in stile Spock. Era stato amministratore di sistema, ma al momento dell’arresto non aveva un impiego fisso e trascorreva le giornate coltivando la sua ossessione per gli UFO. A quattordici anni imparò da autodidatta a programmare videogiochi ambientati nello spazio sul suo computer Atari. Entrò nella British UFO Research Association e trovò una comunità di appassionati con interessi simili; sua madre ricorda che lo interrogò sul patrigno, cresciuto a Bonnybridge, località nota per avvistamenti UFO. Dopo aver lasciato la scuola secondaria, alternò diversi lavori di supporto tecnico. Dopo aver letto The Hacker’s Handbook, manuale degli anni Ottanta, iniziò a sperimentare le tecniche suggerite e nel 2000 decise di cercare prove sugli UFO nei sistemi informatici governativi statunitensi. Concentrato e ossessivo, mise a punto metodi per introdursi nelle macchine. Con Perl scrisse uno script che gli consentiva di scansionare fino a 65.000 computer in meno di otto minuti e scoprì che molti impiegati federali non avevano cambiato le password predefinite. Sorpreso dalla scarsa sicurezza, installò su quegli apparecchi il software RemotelyAnywhere, che permette l’accesso e il controllo remoto; in questo modo poteva spostarsi tra i sistemi, trasferire o cancellare file e interrompere l’attività quando rilevava altri accessi. Si spostò virtualmente da Fort Meade fino al Johnson Space Center della NASA in cerca di tracce di vita extraterrestre; raccontò di aver trovato un elenco di "ufficiali non terrestri" della Marina e una foto di un oggetto a sigaro con cupole geodetiche, foto che però non riuscì a salvare perché in JavaScript. Alimentò la sua ossessione e il piacere dell’hacking: come disse al Guardian nel 2005, era diventato una dipendenza, simile al desiderio di affrontare sfide di sicurezza sempre più complesse. La sua attività venne però scoperta: il Dipartimento di Giustizia statunitense non ha reso pubblici i dettagli su come sia stato rintracciato, ma McKinnon sostiene che la sua intrusione fu individuata quando si collegò al Johnson Space Center in un momento sfortunato; l’accesso fu subito interrotto e, secondo la sua ricostruzione, il ritrovamento del software RemotelyAnywhere sul sistema avrebbe portato agli acquisti associati al suo indirizzo e-mail.
Brendan Eich è una delle figure più influenti nella storia dell’informatica moderna. Nato nel 1961 a Pittsburgh, in Pennsylvania, è conosciuto soprattutto per aver creato JavaScript, uno dei linguaggi di programmazione più utilizzati al mondo. Tuttavia, la sua carriera va ben oltre questo contributo: Eich è anche uno dei fondatori di Mozilla e, successivamente, il creatore del browser Brave e della criptovaluta Basic Attention Token (BAT). Gli inizi e la creazione di JavaScript Dopo aver conseguito una laurea in matematica e informatica alla Santa Clara University e un master all’Università dell’Illinois a Urbana-Champaign, Eich lavorò per Silicon Graphics e MicroUnity. Nel 1995 entrò in Netscape Communications, dove gli fu affidato un compito che avrebbe cambiato per sempre il web: sviluppare un linguaggio di scripting da integrare nel browser Netscape Navigator. Incredibilmente, Eich scrisse la prima versione di JavaScript in soli dieci giorni. L’obiettivo era creare un linguaggio facile da apprendere per gli sviluppatori web, capace di rendere le pagine dinamiche e interattive senza la necessità di compilazione. Il risultato fu un linguaggio flessibile, interpretato e basato su concetti del linguaggio Scheme e della sintassi di Java. Nel giro di pochi anni, JavaScript divenne uno standard del web, adottato da tutti i principali browser e poi formalizzato come ECMAScript dal consorzio ECMA International. L’era Mozilla Dopo la fusione di Netscape con AOL, Eich continuò a lavorare sul progetto Mozilla, un’iniziativa open source nata per creare un browser libero e indipendente. Nel 2003 fu tra i fondatori della Mozilla Foundation, che avrebbe poi dato vita a Firefox, uno dei browser più popolari e apprezzati per la sua attenzione alla privacy e alla libertà dell’utente. Nel 2014 Eich fu nominato CEO di Mozilla, ma la sua permanenza durò solo pochi giorni a causa di polemiche legate a una sua donazione politica del 2008. Dopo le dimissioni, si allontanò temporaneamente dai riflettori, per poi tornare con un nuovo progetto che avrebbe combinato tecnologia blockchain e navigazione web. Brave e la rivoluzione della privacy Nel 2015 Eich fondò Brave Software, l’azienda dietro il browser Brave. L’obiettivo era ambizioso: creare un browser veloce, sicuro e attento alla privacy, capace di bloccare di default la pubblicità invasiva e i tracciatori. Allo stesso tempo, Brave proponeva un nuovo modello economico basato sulla criptovaluta Basic Attention Token (BAT), che consente agli utenti di essere ricompensati per l’attenzione prestata agli annunci pubblicitari. Brave rappresenta una risposta concreta ai problemi di privacy e sostenibilità economica del web moderno, incarnando la visione di Eich di un internet più equo e rispettoso dell’utente. Eredità e impatto Il contributo di Brendan Eich va ben oltre la creazione di un linguaggio di programmazione: ha influenzato profondamente la struttura stessa del web. JavaScript è oggi la base dello sviluppo front-end, presente in milioni di siti e applicazioni. Allo stesso tempo, attraverso Mozilla e Brave, Eich ha promosso un’idea di internet aperto, trasparente e orientato alla libertà individuale. In definitiva, Brendan Eich è una figura complessa e visionaria: un innovatore tecnico, un sostenitore dell’open source e un imprenditore che continua a ridefinire i confini del web.
Il termine data breach è ormai entrato nel linguaggio comune, spesso associato a scenari catastrofici e notizie di cronaca legate alla perdita o al furto di dati sensibili. Tuttavia, intorno a questo fenomeno circolano ancora molti luoghi comuni che rischiano di far abbassare la guardia o, al contrario, di alimentare panico ingiustificato. Facciamo chiarezza, sfatando alcuni miti diffusi. Mito 1: “Un data breach riguarda solo le grandi aziende” La realtà è opposta: anche le piccole e medie imprese sono bersaglio frequente di attacchi informatici. Spesso, anzi, risultano più vulnerabili perché non dispongono delle stesse risorse per la sicurezza informatica di una multinazionale. Nessuna organizzazione è troppo piccola per essere presa di mira: i criminali cercano opportunità, non dimensioni. Mito 2: “I data breach avvengono solo dall’esterno” Non sempre le violazioni derivano da hacker esterni. Una parte significativa dei data breach è dovuta a errori interni, negligenze o comportamenti scorretti da parte di dipendenti e collaboratori. Anche una semplice e-mail inviata al destinatario sbagliato può costituire un data breach. Mito 3: “Se i dati non sono sensibili, non c’è pericolo” Ogni informazione ha valore. Anche dati apparentemente innocui, come indirizzi e-mail o numeri di telefono, possono essere utilizzati per campagne di phishing, furto di identità o social engineering. Minimizzare l’importanza delle informazioni può favorire l’esposizione a rischi seri. Mito 4: “Un data breach si risolve con la tecnologia” Gli strumenti tecnologici sono indispensabili, ma da soli non bastano. La sicurezza è anche una questione di processi, formazione del personale e cultura aziendale. La prevenzione richiede un approccio integrato che includa procedure chiare, consapevolezza degli utenti e piani di risposta agli incidenti. Mito 5: “Se non si parla del problema, sparisce” Ignorare o sottovalutare un data breach è un errore grave. La normativa, come il GDPR in Europa, impone obblighi stringenti in materia di notifica e gestione delle violazioni. Tentare di nascondere un incidente può comportare sanzioni pesanti e danni reputazionali difficili da recuperare. I data breach non sono eventi rari né circoscritti a contesti specifici: rappresentano una minaccia concreta per qualsiasi realtà, indipendentemente dalla dimensione o dal settore. Per difendersi è necessario superare i falsi miti, adottare un approccio consapevole e proattivo e considerare la sicurezza dei dati come una responsabilità condivisa da tutta l’organizzazione.
Chi scrive ai comuni italiani, spesso non ci pensa: dietro ogni indirizzo di posta elettronica istituzionale c’è un fornitore di servizi che garantisce la consegna, la sicurezza e la gestione dei messaggi. Ma quali provider dominano davvero la corrispondenza digitale dei municipi del nostro Paese? Secondo un’analisi condotta su un campione rappresentativo di indirizzi istituzionali, il panorama è meno variegato di quanto ci si potrebbe aspettare. Gran parte delle amministrazioni si affida ancora a soluzioni tradizionali, spesso centralizzate a livello regionale o fornite da società pubbliche e partecipate. In prima linea ci sono infatti i servizi legati a Aruba, Microsoft e Google, che negli ultimi anni hanno guadagnato terreno anche grazie a convenzioni Consip e gare pubbliche. Non mancano però le eccezioni: alcuni comuni, soprattutto i più piccoli, utilizzano ancora provider locali o servizi gestiti da consorzi intercomunali, spesso legati a società informatiche regionali. Questa scelta, se da un lato garantisce vicinanza e assistenza personalizzata, dall’altro può tradursi in una minore capacità di aggiornamento tecnologico rispetto ai grandi player. Il tema non è secondario: l’adozione di un provider piuttosto che un altro influisce su sicurezza, interoperabilità e costi. Nel pieno delle politiche di digitalizzazione promosse dal PNRR e dall’AgID, la scelta del servizio di posta elettronica diventa anche un tassello strategico. In particolare, la PEC (Posta Elettronica Certificata), strumento fondamentale per le comunicazioni ufficiali, resta saldamente in mano ad Aruba e ad altri operatori italiani accreditati, in linea con la normativa nazionale ed europea. La fotografia che emerge è quindi quella di un’Italia a più velocità: grandi città e capoluoghi sempre più orientati verso infrastrutture cloud internazionali, piccoli comuni che faticano a staccarsi da provider storici e soluzioni su misura. La sfida, nei prossimi anni, sarà garantire a tutti i municipi un’infrastruttura sicura, efficiente e interoperabile, senza lasciare indietro nessuno.