Ciao!
per quanto riguarda la scadenza delle password (ed il conseguente rinnovo ogni n gioni/mesi/settimane) una fonte attendibile sull'argomento è Microsoft, che nel Security Baseline Draft di Windows 10 v1903 ne parla piuttosto approfonditamente: <https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/> https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/ Per quanto riguarda del materiale sull'argomento e su come esporlo ad un pubblico di non addetti ai lavori, mi sento di consigliarti (avendolo fatto n volte in aziende diverse) di far comprendere loro la responsabilità diretta/personale che deriva da una non corretta gestione delle credenziali. A livello di materiale, spesso video divertenti inerenti all'argomento (che tu ci creda o no, Jessica Fletcher è una risorsa decisamente interessante sull'argomento password) che spezzino le spiegazioni e che supportino e/o riguardino quello di cui stai parlando in quel momento aiutano a mantenere la concentrazione su di te. Ultimo, ma non per importanza, ti sconsiglierei di utilizzare la classica vignetta di XKCD[1] in merito alle password ed alla loro complessità: dal mio punto di vista la via corretta per gestire le password è tramite password manager (tralasciando la possibilità di usare multi-factor authentication, già citata e che mi trova d'accordo); preferire frasi (per altro basate sulle circa 2000 parole che nel 95% dei casi utilizziamo durante la giornata) che necessitano comunque che l'utente si ricordi dove ha usato quale password riporta inevitabilmente al riutilizzo della stessa su più servizi oppure alla loro gestione non corretta (es: file excel con tutte le credenziali). Ciao e buona serata! [1] <https://xkcd.com/936/> https://xkcd.com/936/ Lorenzo Nicolodi email: lorenzo.nicol...@gmail.com From: italian security mailing list <ml@sikurezza.org> On Behalf Of Marsala Sala Sent: 10 October 2019 17:12 To: ml@sikurezza.org Subject: Re: Consiglio per corso sicurezza dipendenti Si di articoli contro il cambio di password ne ho sentiti e letti pure io. Ma io non concordo, l'errore più umano e comune è scrivere le password o stamparle e poi dimenticare quel biglietto. Poi se faccio pulizie butto via pezzi di carta e pure la mia password e uno che fa doxing che magari trova tutte le tue referenze piu una password ci tenta e magari è fortunato. Nelle discariche si trova di tutto e lo spionaggio industriale non è una cosa da film o un americanata. Le regole di hacking etico o non etico lo trovi ovunque. E rubare password è la moda del momento. Mi piace la filosofia ti do la pass e tu la cambi ma a lunghezza specifica e con simboli. Fare social engineering con una banca è dura con double authentication dopo Mitnick. Ora con sta cosa che dall'app devi immetti utente pass e poi ti fanno la finta chiamata inserendo il numero lo trovo diabolico.... E se uno perde il telefono? E lo trovo con pass salvate chiamo immetto il codice? Era meglio il gioco di memoria a 12 cifre. Saluti Il gio 10 ott 2019, 16:45 roberto diana <roberto.di...@gmail.com <mailto:roberto.di...@gmail.com> > ha scritto: Ciao Il giorno gio 10 ott 2019 alle ore 14:31 Marsala Sala <kristinaalb...@gmail.com <mailto:kristinaalb...@gmail.com> > ha scritto: <cut> usare password uguali per ogni sito e di fare il logout. Puoi parlare dell MITM e del http e https. E perché sono importanti due chiavi di autenticazione e il cambio di password spesso. <cut> io sapevo che cambiare spesso la password non era una bestpratics in termini di sicurezza confermate ? Sto cercando un pò di risorse che avevo letto ma non le trovo ....