Dopo l’attacco alla Privacy dei vip con il furto delle loro foto su iCloud, il tema della sicurezza della password è salito alle cronache. Semplici, ma così difficili, per creare password sicure bisogna usare strategia, competenza e un pizzico di fantasia
La violazione della privacy delle star, diventata nelle scorse settimane un fatto di cronaca, ha per tema le foto private su iCloud sottratte da un abile hacker. Dietro le quinte tecnologiche, il problema non risolto di come costruire password affidabili e sicure.
La domanda sorge spontanea: come può una cosa che sembra così semplice come una password diventare una questione così complicata?
Sicurezza delle password: sicuri di conoscerla?
Da oltre quarant’anni a questa parte l’IT ha continuato a combattere (e perdere) la battaglia delle password. Il problema con la sicurezza delle password è che sono logicamente facili ma, paradossalmente, allo stesso modo alquanto sofisticate.
Quando si parla di sicurezza, la cosa più pericolosa al mondo è ciò che si crede di sapere, il che porta spesso a non mettere mai in dubbio il proprio livello di conoscenza.
Se si chiede a un qualsiasi professionista della sicurezza IT se sappia cosa siano e come funzionino le password, la maggior parte di loro vi risponderà senza incertezza di sì. Se l’affermazione fosse vera, però, come mai le violazioni delle password sono note e così frequenti?
Password umane troppo umane
Sul tavolo non ci sono le tecniche di protezione delle password archiviate quanto, piuttosto, una componente umana che entra a far parte dell’equazione di rischio.
La maggioranza delle persone, infatti, continua a scegliere password sbagliate. Qualche esempio? La password più comune del 2013 è stata “123456“. Il secondo posto è andato alla parola “password“, e il terzo posto al codice “12345678“.
Nell’elenco delle favorite a livello internazionale (complice una dominanza della madrelingua anglossassone) troviamo “iloveyou“, “letmein“, “abc123” e “principessa“: si tratta di scelte comuni e scontate, che ogni anno si ripetono senza un minimo di senso della sicurezza e che imporrebbe un cambio repentino proprio per scoraggiare hacker e cybercriminali che hanno gioco facile con questo tipo di password.
Perché gli utenti mettono così poco ingegno nella scelta delle loro password? Il motivo principale è che le persone (celebrità comprese), non pensano minimamente al fatto che qualcuno possa violare il loro account. La tesi, infondata, si basa su un antico pregiudizio: a me non succederà mai. Invece accade, anche perché la comunicazione che viene data agli utenti finali dagli esperti ha un vizio di forma.
Perché le password complesse sono più inviolabili
Uno dei più grandi errori che il settore della sicurezza informatica continua a fare, è spingere gli utenti ad implementare password estremamente complesse senza spiegarne i motivi. È vero, infatti, che una password semplice è più facile da ricordare e da trascrivere, così come è anche vero che se la password è troppo corta e utilizzata su tutti i siti, diventa più a rischio rispetto a una password lunga (con una pericolosità che cresce soprattutto rispetto alle password legate ai siti di e-commerce e all’online banking).
Il termine password complessa è forse il termine più soggetto a fraintendimenti nel settore IT (nonché la causa di molti dei problemi associati oggi alla gestione delle password).
Troppo spesso il binomio password complessa diventa sininimo di password impossibile da ricordare. Dobbiamo arrivare a capire che la complessità è solo una piccola parte dell’equazione. Non è semplicemente una questione di complessità, ma di imprevedibilità (il concetto di entropia di una password può essere inversamente proporzionale al concetto di password prevedibile). E questa è la chiave per una buona password.
Più sono imprevedibili, più sono sicure
Una password imprevedibile può anche essere facile da ricordare. Una buona pratica è utilizzare una combinazione di lettere maiuscole, minuscole, numeri e caratteri speciali (regole di complessità classiche).
Un esempio è giocare con gli acronimi di una frase semplice come, ad esempio, Io mi chiamo Renato e ho 3 figli che diventa “ImcReh3F” o, ancora, costruire una stringa tipo “Homangiato1pizzaDomenica“. Questa password (o, più precisamente, passphrase), è facile da ricordare e facile da digitare. Non è prevedibile, ma è una password complessa, in quanto contiene numeri e maiuscole che fanno parte dei caratteri speciali consigliati dagli esperti di sicurezza.
Più una frase sarà corta maggiori sono le probabilità che un utente se la ricorderà. Aggiungete alla frase corta un pizzico di complessità e subito si otterrà una password che non trova voce nel dizionario di un hacker e può essere spezzato solo con un attacco mirato.
Con una passphrase come “Iwentfishing4timeslastmonth?”, ad esempio, secondo la calcolatrice di password Gibson Research Corporation prima di identificarla e violarla occorrono oltre 76.43 trilioni di trilioni di secoli, anche ad una velocità di 100,000 miliardi di tentativi al secondo. Chiara dimostrazione di una passphrase assolutamente inviolabile.
Gli utenti possono prendere un paio di stringhe di questa natura e sviluppare una formula che ha senso per loro, modificando la stringa finale su siti diversi. Ad esempio, una password di Facebook potrebbe aggiungere “FB” o l’anno di laurea dell’utente e così via.
Possono esserci anche formule che rendono l’equazione ancora più complessa, ma il trucco è tutto lì: personalizzare attraverso frasi che vengono sublimate nel gioco degli acronimi o delle frasi brevi, con alternanze di maiuscole, minuscole e numeri.
Utilizzando questo metodo, l’utente può ora avere una password molto forte, facile da ricordare, diversa per ogni sito che visitano e semplice da digitare. È questa la sicurezza perfetta? Naturalmente no. Ma è molto più blindata di una password come “123456” utilizzata in oltre 30 siti diversi.
Meglio un nome unico, anzi impossibile
Un altro trucco è quello di creare un nome utente univoco se non impossibile. Mentre molti siti richiedono l’indirizzo email di un utente come il nome dell’utente, alcune istituzioni finanziarie consentono invece la creazione di nomi utente particolari.
Se l’utente ha il proprio indirizzo di posta elettronica come nome utente per ogni sito, in cui occorre una sua registrazione (in particolare con la stessa password), l’informazione è compromessa in partenza perché è possibile, per gli hacker, rintracciare altri siti utilizzati dall’utente con la stessa password. Mettere un nome utente univoco sui siti legati a qualsiasi tipo di trasnazione finanziaria è una buona idea, in quanto utilizza una stringa passphrase diversa dagli altri siti.
Chi si occupa di sicurezza deve dare agli utenti indicazioni su come creare una buona password. Bisogna far capire che “123456” non è una buona password così come non è una buona password una stringa difficile da ricordare. Per diffondere una cultura migliore in materia, bisogna spiegare come si creino password imprevedibili e, soprattutto, perché.
Fonte: ICT4Executive