2019 agosto
Volume 34 numero 8
[Don't Get Me Started]
Cambio di programma
Di David Platt | 2019 agosto
.jpg "David Platt")
I maiali stanno volando. È in corso il blocco. Microsoft informa gli utenti che non devono più modificare periodicamente le password.
Sembra sorprendente, considerando tutte le arringhe ricevute nel corso degli anni per l'esecuzione diligente delle modifiche delle password. Ma è vero. Aaron Margosis, descritto nel Blog di Microsoft Security Guidance (bit.ly/2Lq4jUB), come viene modificata la linea di base di sicurezza per Windows 10 e Windows Server, affermando che Microsoft sta eliminando i criteri di scadenza della password che richiedono modifiche periodiche della password ". Santa Toledo.
Margosis spiega: "Quando gli utenti sono costretti a modificare le password, troppo spesso comportano modifiche minime e prevedibili alle password esistenti e/o dimenticano le nuove password". Continua con una discussione ponderata sui costi delle scadenze periodiche delle password rispetto al miglioramento marginale della sicurezza. In particolare, ammiro il modo in cui Margosis si inserisce nei panni degli utenti umani, anziché sperare, che si trasformeranno in qualcosa di più logico. Si consiglia di leggere l'intero elemento.
Tuttavia, si tratta di un problema. Gli utenti non usano il collegamento "troppo spesso". Ogni singola persona che ho mai chiesto di farlo ogni volta. Questo è ciò che accade quando si supera il "budget di spesa" di un utente, come illustrato nella colonna di aprile 2013 (MSDN.com/Magazine/dn166939.aspx).
Si tratta del momento in cui sono state eliminate le reimpostazioni periodiche. Non sono benigni. Per una descrizione bruta delle conseguenze letali delle reimpostazioni della password troppo frequenti, leggere l'ultimo capitolo di "non nuocere: Storie di vita, morte e Brain Surgery, "del chirurgo inglese Henry Marsh (St. Martin ' s Press, 2014). Dovrebbe essere necessario leggere tutti gli architetti di sicurezza.
Sono felice di vedere che Microsoft implementa idee da quello che ho denominato lo spostamento di sicurezza razionale. Ho sostenuto questo da almeno 2003, nella mia newsletter presso bit.ly/2xiK6I7 , che ha annunciato anche la nascita della mia figlia Lucy, che probabilmente avrà la patente del suo autista nel momento in cui hai letto questo. Bruce Schneier ha scritto il lavoro di bilanciamento del carico rispetto alla restituzione nel suo eccellente libro, "oltre la paura: Ragionare in modo ragionevole sulla sicurezza in un mondo incerto "(libri Copernico, 2003). E Cormac Herley, di Microsoft Research, ha esaminato il modo in cui gli utenti fanno questi compromessi in un ottimo documento, "troppo lungo" e non grazie per l'esterno: Il rifiuto razionale degli avvisi di sicurezza da parte degli utenti (bit.ly/2LzdySL). Al suo interno, Herley piange "la profonda ironia che molti consigli sulla sicurezza, non solo comporta una maggiore danno rispetto al bene (e, di conseguenza, viene rifiutata), ma è più dannosa degli attacchi che cerca di evitare e non solo perché gli utenti li ignorano".
Tuttavia, queste modifiche si verificano lentamente. Ho partecipato a una lezione di Harvard fornita da bit.ly/2xfmV1t, un professore di Carnegie Mellon che studia la coesistenza di sicurezza e usabilità (vedere il video in ). Era poi uno studio di visita presso gli Stati Uniti Ministero del commercio, in cui ha dovuto usare sei sistemi distinti, con credenziali di accesso separate. Ha gestito per convincere gli amministratori di due di questi sistemi che la reimpostazione delle password non era conveniente, ma nonostante la sua ricerca sull'argomento (vedere bit.ly/2RFKz0v), non riusciva a convincere gli altri. Non ci ha detto, ma scommetto qualcosa che ha appena apportato l'ultima cifra della password scaduta in questi sistemi, come tutti gli altri nell'universo.
Mi chiedo quando e se questa modifica funzionerà nei sistemi interni di Microsoft. I miei amici mi dicono che finora non lo sono. Ma è interessante notare che la maggior parte di essi hanno detto che la mia password non è mai stata usata per accedere più. Ho semplicemente usato la fotocamera sul mio portatile ". Questo significa che Windows Hello, che autentica gli utenti tramite il riconoscimento facciale. Come ho sempre detto: Gli utenti sono Lazy, una conseguenza naturale e inevitabile di essere umana. (Vedere la prima colonna, MSDN.com/Magazine/ee309884). Se si semplificano le operazioni, le persone si spostano su di essa. (In fretta, l'abbandono dei dati biometrici senza doversi preoccupare della privacy, ma questo è un argomento per un altro giorno).
Sono come tutti gli altri. Assicuro che il computer portatile successivo disponga di una fotocamera che la supporti, quindi posso smettere di usare le password.
David S. Platt insegna la programmazione di .NET alla scuola di estensione Harvard University e alle aziende di tutto il mondo. È autore di 11 libri di programmazione, tra cui "Why Software Sucks" (Addison-Wesley Professional, 2006) e "Introducing Microsoft .NET" (Microsoft Press, 2002). Microsoft denominato legenda software in 2002. Si chiede se deve avere un nastro a due delle dita della figlia, in modo da imparare a contare in ottale. È possibile contattare l'autore all'indirizzo rollthunder.com.