Password difficili e da cambiare spesso? Non è (più?) la soluzione migliore

Sono sempre più gli esperti di sicurezza informatica ad essere scettici nei confronti di alcune “regole” ritenute preziose per un bel po’ di tempo, nel momento in cui ci si trova nella condizione di dover creare una password d’accesso. Oggi sono moltissimi i servizi, le app e i siti che ci impongono di creare un account (e conseguentemente una password) per poterne sfruttare le funzionalità, ben più numerosi di quello che accadeva tempo fa quando, ad esempio, il telefono che avevamo in tasca era un semplice dispositivo per comunicare a voce, senza connessione a internet.

Non solo, in molte app e siti si può accedere utilizzando account già utilizzati come quelli di Facebook o Google, per citare due esempi, facilitandoci così il compito di memorizzare le credenziali di accesso, teoricamente già utilizzate e note. E proprio da questo processo di memorizzazione che nascono i problemi, anche se la questione è più complessa di quello che si può ipotizzare. Un paio di settimane fa Bill Burr(che nulla ha a che fare con l’omonimo comico statunitense) ha concesso una interessante intervista al Wall Street Journal, esprimendo rammarico per alcune linee guida scritte in passato, ovvero quasi quindici anni fa. Lecito farsi una domanda: e chi sarebbe questo Bill Burr?

Il 2003 è l’anno in cui inizia la guerra in Iraq, nasce iTunes store dando il via al fenomeno di massa della musica liquida, viene creata la piattaforma WordPress, l’insopportabile tormentone Chihuahuadi DJ Bobo infesta le radio di tutto il mondo e in Italia, giusto per contestualizzare temporalmente il periodo, viene creato il canale satellitare Sky. Nel Maryland, uno stato di cui si parla poco e in cui succede poco, ha sede un’agenzia governativa USA, National Institute of Standards and Technology (NIST), chiamata a redigere scartoffie burocratiche su molte tematiche legate alla tecnologia.

Nulla di fantascientifico, insomma, ma file di scrivanie in cui impiegati e manager sono chini su un lavoro di routine. Ad uno di questi manager, Bill Burr appunto, viene chiesto di stilare un elenco in cui siano presenti suggerimenti per la scelta consapevole e sicura delle password. Il documento di 8 pagine (“NIST Special Publication 800-63. Appendix A”), anche se lui non lo sa, andrà a condizionare la modalità di scelta della password per tutti gli anni a venire, fino ai giorni nostri.  Proprio di quel documento si è scusato in questi giorni Mr Burr, esprimendo rammarico per le conseguenze e frustrazioni che ha causato.

I suggerimenti ci suoneranno molto familiari, poiché ci sono stati chiesti molte volte e continueranno ed essere chiesti ancora per diverso tempo in fase di creazione di un account: no alle parole troppo corte, obbligo di almeno una parola maiuscola e di un numero, meglio se ci mettiamo anche un simbolo strano, da cambiare ogni 90 giorni, insomma tutte quelle “complicazioni” che ci si sono parate di fronte molte volte, generando frustrazione e talvolta incredulità. Tutto è partito da quel documento di Mr. Burr, adottato alla lettera inizialmente nei palazzi governativi USA e poi via via in tutto il mondo.

Bill Burr è rammaricato (poi vediamo perché), ma non possiamo dargli tutte queste colpe: è ed era logico presupporre che quei consigli fossero comunque validi e che innalzassero il livello di sicurezza rispetto a quando non c’erano vincoli per le password. Il problema, piuttosto, siamo noi “umani”, la nostra pigrizia e la furbizia malevola di qualcuno. Il rammarico viene dalla consapevolezza, ormai conclamata, che quelle accortezze non solo hanno causato frustrazione, ma sono risultate controporducenti specie negli ultimi anni.

I motivi sono molteplici: il primo è che l’obbligo di utilizzare una password complessa con maiuscole e numeri ha spinto la gente a usare sempre e solo quella per tutto, visto che risulta difficile da ricordare con precisione. Impensabile ricordarsi esattamente ogni combinazione usando password diverse per servizi differenti. Si usa sempre quella una volta memorizzata, e via. Conseguenza: se ci viene sottratta una password, siamo verosimilmente vulnerabili su tutti i fronti, considerando che una percentuale molto alta di utenti usa la stessa password. La password in sé è più sicura di una normale, ma i rischi sono paradossalmente più alti rispetto ad avere diverse password semplici.

L’anno scorso abbiamo poi ricordato come anche il cambio della password ogni tot giorni ha mostrato limiti enormi, grazie a uno studio che vi riassumiamo in breve. Analizzando un database di 8000 identità tenute anonime e in disuso in una Università USA, si è scoperto che i cambiamenti fra una password e quella aggiornata alla scandenza sono minime: si sposta la posizione della maiuscola, si incrementa di una unità un numero e cose del genere. Un ipotetico Marco1 diventa conn ottime probabilità Marco2 o mArco1, o se proprio esiste un sistema di controllo avanzato che analizza le differenze, si passa al cognome.

Insomma, una percentuale veramente elevata di utenti utilizza uno schema, facile da ricordare ma anche prevedibile per i malintenzionati, che sanno come funzionano le cose. Il computer di guida delle missioni Apollo, che hanno portato l’uomo sulla Luna, aveva una CPU da 2MHz(MHz, non GHz) e 4KB di RAM (non MB, KB). Lo smartphone più scadente che possiamo portarci in tasca oggi è decine di migliaia di volte più potente, fatto che ci permette di capire che certe cose evolvono molto più in fretta di altre. Per me  macchine siamo diventati banalmente prevedibili. A cosa serve questo discorso? Semplice: il 41% delle password di quel database da 8000 utenze è stato violato in 3 secondi, il tempo necessario a un normale PC opportunamente programmato per suggerire le possibili password da 6 caratteri/cifre più probabili. E in questo caso eravamo di fronte all’imposizione di usare maiuscole e numeri, le cose vanno ancora peggio se si analizzano le passowrd richieste da siti, enti o servizi che hanno ancora la password “libera:

Questo è lo sconcertante quadro delle password più diffuse al mondo nel 2007 e nel 2017: si era più fantasiosi allora di oggi. Ingegneria sociale più PC potenti, insomma, possono scardinare in fretta le password oggi di quanto lo facevano anni fa, poiché nel frattempo siamo stati abituati a crearci uno schema per creare password difficili per noi, ma semplicissime per una macchina che conosce bene questi schemi. Utilizzando poi quella stessa password per tutto, ecco che ogni nostra utenza è molto più a rischio di un tempo.

Stiamo inoltre tralasciando la diffusissima e pessima abitudine di scriversi le password complesse imposte, specie in ambito aziendale, lì da qualche parte sulla scrivania o su un post-it sul monitor. Insomma, la soluzione suggerita in quei documenti ha creato più problemi di quanti era chiamati a risolvere.

Le migliori soluzioni, almeno attualmente…

Quindi, cosa si fa?

1. La soluzione migliore era e resta quella della password unica e diversa per ogni account, meglio se molto lunga (aumentando il numero di cifre, aumenta esponenzialmente il tempo di calcolo per indovinarla). Più facile a dirsi che a farsi, però. Oltre a ciò, certi siti assurdamente hanno anche un limite massimo di caratteri utilizzabili per quel campo. Si torna inoltre al problema di come memorizzarla e ricordacela. Ecco che possono assumere senso, almeno nei casi più sensibili, utilizzare servizi come 1Password (esempio a caso fra i molti disponibili), in grado di generare e ricordare password lunghissime e complesse in automatico per ogni account richiesto, il tutto su ogni dispositivo utilizzato, con l’obbligo di ricordarsi unicamente uno username e una password (quella per accedere appunto alla app 1Password). Sebbene anche questi servizi, pur in casi eccezionali, possano avere qualche problema.

2. Se possibile abilitare la verifica in due passaggi, dove ad esempio oltre a username e password è richiesto un secondo step di autenticazione, che passa magari attraverso il nostro smartphone come seconda conferma di accesso autorizzato. Google ad esempio lo permette, così come Facebook.

Sui rilevatori biometrici gli esperti si dividono: se un’impronta digitale o la scansione dell’iride costituiscono sicuramente un ottimo sistema per l’identificazione certa dell’utente, può risultare problematico in molti casi cambiare queste credenziali in caso di violazione, specie se lontani da dispositivi dotati di lettori. Non solo: l’autenticazione attraverso riconoscimento facciale su diversi dispositivi si è più volte visto come possa essere scardinato con una semplice fotografia, quindi si capisce lo scetticismo di molti analisti.

 

FONTE: http://www.hwupgrade.it/articoli/sicurezza-software/4988/password-difficili-e-da-cambiare-spesso-non-e-piu-la-soluzione-migliore_index.html

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *