Il tema della sicurezza è diventato "improvvisamente" di attualità a seguito dell'entrata in vigore delle "Misure minime di sicurezza ICT per le pubbliche amministrazioni", la cui adozione è diventata obbligatoria per tutte le PA in seguito alla pubblicazione in Gazzetta Ufficiale (Serie Generale n.103 del 5-5-2017) della Circolare 18 aprile 2017, n. 2/2017 (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015). 
Ne avevamo parlato anche in un post nel gruppo Facebook della community, dove si ricordava la necessità di adottare sempre tutte le possibili precauzioni per la protezione del sito da attacchi esterni brute force che potrebbero comprometterne seriamente le funzionalità.

In merito alla sicurezza dei dati, la normativa in materia di protezione dei dati personali impone, inoltre, di "forzare" il cambio delle password secondo quanto riportato sotto, da realizzare mediante opportune e adeguate soluzioni tecniche:
...
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.

(DECRETO LEGISLATIVO 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali. [GU n.174 del 29-7-2003 - Suppl. Ordinario n. 123] - allegato B: Disciplinare tecnico in materia di misure minime di sicurezza)

 La richiesta, ormai comune in molti sistemi, obbliga quasi sempre a utilizzare password:

  • di almeno di 8 caratteri
  • devono contenere caratteri presi da almeno tre dei seguenti gruppi:
  • maiuscole (dalla A alla Z)
  • minuscole (dalla a alla z)
  • numeri (da 0 a 9)
  • caratteri non alfabetici (per esempio, !, $, #, %)

Come implementare queste funzionalità all'interno di Joomla!? Fino a qualche tempo fa era disponibile un plugin che, tuttavia, è stato sviluppato a partire da versioni 1.5 di Joomla! e il cui aggiornamento ultimo risale a gennaio 2016.
Prendendo spunto da queste discussioni, Helios Ciancio ha realizzato un nuovo plugin per obbligare gli utenti al cambio password, con la possibilità di impostare i giorni di scadenza. Si tratta di un plugin davvero semplice nella sua configurazione e che potrà essere ulteriormente arricchito successivamente di altre funzionalità.

In questa immagine, ecco il pannello di controllo del plugin con la finestra per impostare i giorni di validità massima della password.

screenshot control panel del plugin

Ma come fare a settare i parametri in modo da avere una "strong password"?

In questo ci viene incontro direttamente Joomla! dove, all'interno del core, tra le opzioni per gli utenti, sono disponibili queste scelte:

screenshot opzioni utenti Joomla

 

Le prime due opzioni "limite richieste cambio password" e "resetta orario", pur presenti nell'elenco, non agiscono sul codice e non hanno, al momento, alcun effetto.
Gli altri parametri consentono, invece, di impostare la lunghezza minima della password, il numero minimo di cifre intere, di simboli e di maiuscole.
Abbinando, così, queste funzionalità native al plugin di Helios, "password policy", sarà possibile adempiere a quanto richiesto dalla norma...e dalle buone prassi di sicurezza!

Se poi vorrete divertirvi per verificare quanto tempo occorra a identificare le password che utilizzate quotidianamente nei diversi siti web, vi invito a provare questo servizio online:

https://howsecureismypassword.net/

Il plugin è disponibile sul sito web di Helios Ciancio