Gestione delle password
Attualmente, le credenziali di nome utente e password sono le credenziali più comuni usate per l'autenticazione. Anche se altri tipi di credenziali, ad esempio certificati e biometrici, stanno iniziando a trovare il loro modo nel mondo dei sistemi e delle reti, vengono spesso sottoposti a backup da password. Inoltre, anche dove vengono usati i certificati, le chiavi di crittografia devono essere protette. Pertanto, i nomi utente e le password continueranno a essere usati per le credenziali nel prossimo futuro.
Dato che le password e le chiavi di crittografia stanno per essere in giro un po', è importante che i sistemi software li usino in modo sicuro. Se un sistema di rete o computer deve rimanere sicuro, le password devono essere protette da intrusi. Questo potrebbe, all'inizio, sembrare semplice. Tuttavia, il sistema dopo che il sistema e la rete sono stati compromessi perché un utente malintenzionato è stato in grado di individuare le password degli utenti. I problemi variano da utenti che condividono le password con qualcuno, al software che può essere penetrato da un utente malintenzionato.
È impossibile archiviare le informazioni segrete nel software in modo completamente sicuro. E poiché l'archiviazione di password e chiavi di crittografia in un sistema software non può mai essere completamente sicura, è consigliabile non essere archiviate in un sistema software.
Tuttavia, quando le password devono essere archiviate in un sistema software, che in genere è il caso, esistono precauzioni che è possibile adottare. La precauzione principale consiste nel rendere il più difficile possibile per un intruso individuare una password. Proprio come bloccare le porte della casa, se qualcuno è determinato a rompere, è quasi impossibile impedirgli di farlo. Ma speriamo che tu abbia alzato il livello di difficoltà sufficientemente che l'intruso sarebbe meglio trovare preda più facile.
Esistono molti modi per rendere più difficile l'individuazione delle password da parte di un utente malintenzionato. Tuttavia, l'entità di ciò che può essere effettivamente fatto è in genere un compromesso con ciò che gli utenti della rete o del sistema sono disposti a vivere con. Ad esempio, si prenda il caso in cui non viene usato "Single Sign On" e all'utente viene richiesta una password ogni volta che viene avviata un'applicazione. Nella maggior parte dei casi, ciò creerebbe un onere significativo per gli utenti e probabilmente si lamentava. Non solo, ma la mancanza di un accesso Single Sign-On è inefficiente e ridurrebbe la produttività degli utenti. Quindi, praticamente parlando, una password in genere non viene raccolta da un utente, ad eccezione del momento dell'accesso.
Dato che le password devono essere in genere archiviate nel sistema software, diventa importante assicurarsi che le password vengano mantenute il più sicure possibile e che la comodità per gli utenti venga mantenuta. Per altre informazioni, vedere i seguenti argomenti:
Nota
Al termine dell'uso delle password nelle applicazioni, cancellare le informazioni riservate dalla memoria chiamando la funzione SecureZeroMemory .