Password al vaglio durante l’aggiornamento annuale del DPS

Tra i tanti controlli da effettuare in occasione dell’annuale verifica privacy un cenno alle password.

Le password: devono essere usate in combinazioni con le user id e devono essere alfanumeriche, di almeno 8 caratteri e non riconducibili all’utente, ovviamente segrete e devono essere variate almeno ogni sei mesi/tre mesi se di accesso ai dati sensibili.

In teoria non le dovrebbe conoscere neppure l’amministratore di rete, che per entrare legittimamente nel pc di un dipendente dovrebbe resettare la password dell’utente, crearne una provvisoria di accesso, entrare, fare ciò che deve fare e poi disabilitare la pw appena creata, ridarne un’altra al dipendente (nel frattempo avvertito dell’intervento) che il dipendente cambierà al suo ritorno al primo accesso.
La realtà è decisamente differente: il programma di adeguamento del DPS di molte aziende è stato ignorato, lettera morta. I post it con su scritte le password di accesso, nascosti sotto la tastiera, o meglio appiccicati sul monitor si sprecano. Del resto spesso le password di accesso sono molte e tra pin, puk, bancomat, postmat, pw di accesso dei caselle email personali ecc. c’è da perderci la testa.

ça gestione automatica dei tempi di scadenza è il must, oltre a questo dovrebbero essere previsti sistemi per cui l’utente non può scegliere nuovamente la stessa password al momento della variazione e doverebbero darsi istruzioni su come e perché non divulgare le password a colleghi ecc.

Perché non avvicinarsi allora a strumenti più sicuri?

Consultate la nostra sezione sulla biometria, il futuro è vicino.
Certo è che le password come gestite oggi in azienda e nelle PA, non sono adeguate a garantire la segretezza dei dati e la sicurezza degli accessi.