Password Day #17: Cambiare la prima password.
In questo appuntamento ci occupiamo del cambio della prima password comunicata dal servizio, dall'amministratore o dal produttore.
Cosa comprendere (e apprendere) nella nostra diciassettesima giornata dedicata alle password?
In alcuni casi la password non la scegliamo noi (ad esempio: in fase di registrazione a un servizio), ma ci viene assegnata per così dire "d'ufficio" da un soggetto terzo nel momento in cui otteniamo l’accesso al servizio, o ci registriamo.
Quando la password viene assegnata dall’amministratore, dal servizio o dal produttore, andrebbe subito cambiata, anche se appare particolamente complessa e sicura. Si tratta di una password che, in teoria, è conosciuta da un altro soggetto: quello che ce l'ha fornita.
Spesso le password “di fabbrica “ usate sono note, o sono già state divulgate nei forum che si occupano di sicurezza.
Soprattutto, il cambio andrebbe immediatamente fatto con riferimento a dispositivi quali router, sistemi wi-fi casalinghi o dispositivi legati all’Internet delle Cose, dal momento che la password di fabbrica permette di solito di accedere al pannello di controllo e delle configurazioni e a tutte le funzioni critiche del sistema.
Un buon sistema (intendendo “buono” come con dei "buoni parametri di sicurezza" già impostati di default) dovrebbe obbligare l’utente al cambio al primo accesso, subito dopo aver terminato il processo di registrazione. In particolare, non ci dovrebbe far accedere al servizio se prima non cambiamo la password.
Del resto, se ci riflettiamo con attenzione, non vi è alcun motivo per cui il produttore o il fornitore del servizio o, comunque, un soggetto terzo, debba conoscere la nostra password.
Obiettivo di questo password day: verificare se abbiamo ancora servizi con la password originaria fornita dal produttore e, se del caso, cambiarla immediatamente.