B@sta P@55w0rd c0mpl!cat€!

B@sta 

P@55w0rd 

c0mpl!cat€!

Informatica. Bill Burr, autore di un manuale del 2003 che ha fatto storia

sulla creazione dei termini d’accesso sicuri, si pente (dopo aver reso la vita difficile a miliardi di persone!)

Le sequenze di caratteri intricate e difficili da ricordare sono inefficaci e cambiarle spesso non serve a nulla

Uno dei momenti più stressanti al computer è quando, davanti alla pagina di un servizio di cui assolutamente non puoi fare a meno, ti chiedono di crearti la tua password, con maiuscole e minuscole e numeri e caratteri speciali (rigorosamente da una data lista)... Se poi è una nuova password per sostituire quella in scadenza (o dimenticata), deve nella maggior parte dei casi essere assolutamente diversa dalla precedente. O dalle due o tre precedenti. Un incubo.

Rimorsi senili

Inserire almeno un numero, un carattere speciale o segni di interpunzione, cambiare la combinazione come minimo ogni 90 giorni: sono le regole di sicurezza adottata dalla maggior parte dei servizi Web per raccomandare la scelta di una password sicura. E sono completamente inutili. Ad ammetterlo è stato Bill Burr, colui che quelle regole le ha inventate, nel 2003. Burr, ex dipendente del National Institute of Standards and Technology (NIST), è l’autore della pubblicazione speciale “800-63, Appendix A”, il documento tecnico di 8 pagine che negli ultimi 14 anni è diventato il riferimento ufficiale per la definizione dei parametri di sicurezza delle password. “Mi pento di quasi tutto quel che ho fatto”, ha detto Burr, oggi pensionato 72enne, in un’intervista al Wall Street Journal. “I miei consigli mandano ai pazzi la gente e alla fine non fanno mai scegliere una buona password”.

Password sicure

La crescita esponenziale delle violazioni di sicurezza nell’ultimo decennio e le opinioni contrarie di crittografi ed esperti di sicurezza, espresse con sempre maggior frequenza sulle pubblicazioni e alle conferenze di settore, giustificano il rimorso di Burr. Una password quasi illeggibile per un umano non è necessariamente sinonimo di password sicura. Craccare una parola d’accesso come “L4St4mPa”, complicata solo all’apparenza e troppo corta, è un gioco da ragazzi per un computer abbastanza potente e i software giusti. Riuscire a violare una sequenza di parole casuali, lunga ma semplice da ricordare come “LeggoLaStampaPoiFaccioCaffeStendoBucato” è invece pressoché impossibile anche per il mainframe più potente. Più che a una parola, meglio pensare insomma ad una frase di accesso.

Nuove direttive

Anche l’obbligo di cambiare la password dopo un periodo prefissato, procedura assurta a dogma e spesso imposta ai dipendenti dai dipartimenti di sicurezza delle aziende, è totalmente inutile. Il motivo è che gli utenti, principalmente per pigrizia, finiscono per cambiare la password aggiungendo soltanto un numero o una lettera alla fine. La modifica delle password dovrebbe essere richiesta solamente in caso di intrusione.

L’ultima revisione del documento del NIST sulle password prende atto di questa e di altre considerazioni. Pubblicato a giugno è una completa revisione di quello firmato da Burr nel 2003. Lo ha redatto un team dell’ente americano sotto la guida del consulente Paul Grassi. Il progetto, durato due anni, aveva come obiettivo un aggiornamento delle direttive originali. Alla fine le indicazioni sono state riscritte completamente per prendere in considerazione 14 anni di studi in materia di sicurezza e autenticazione online. La guida suggerisce adesso di usare passphrase piuttosto che password: cioè frasi costituite da più parole familiari di senso compiuto, per esempio non_mi_ricordo_la_parola, oppure, se siete dei duri, da-qui-non-passi-vigliacco. Sono più facili da ricordare (dicono, i geni!) e più difficili da dedurre o craccare in un attacco informatico diretto ai vostri preziosi segreti.

Siti poco sicuri

Addossare tutta la colpa al povero Burr, però, sarebbe ingiusto. Lo conferma anche Grassi, secondo cui il collega ha fatto quanto di meglio poteva con le risorse disponibili nel 2003. All’autore del documento originale mancavano i dati statistici che oggi sono derivabili da migliaia di violazioni di sicurezza, analizzate a più riprese dagli esperti per trovare elementi comuni e debolezze delle password più diffuse. E se è vero che quelle indicazioni ormai obsolete hanno avuto spesso l’effetto contrario, favorendo la scelta di password poco sicure, è pure vero che il rischio maggiore alla sicurezza degli account online deriva dalle pratiche errate di siti e servizi web.

Un recente studio condotto da Dashlane, azienda che sviluppa l’omonimo software per la gestione delle password, ha analizzato 37 tra i più diffusi siti per consumatori e 11 siti aziendali delle maggiori aziende del settore IT. La ricerca ha verificato la presenza di 8 indicatori di sicurezza, tra cui la verifica della ripetizione dei caratteri nelle password (per evitare sequenze come “aaaaaaa” o “1111111”), la presenza di un feedback all’utente sull’efficacia della password scelta, l’implementazione dell’autenticazione a due fattori e le protezioni contro gli attacchi a forza bruta, che provano a scardinare un sistema testando migliaia di password al secondo. È venuto fuori che il 46% dei siti per consumatori e il 36% dei siti aziendali non include alcuni tra i più rudimentali meccanismi di sicurezza, come ad esempio la richiesta di una password lunga almeno 8 caratteri. GoDaddy è il sito che ha ottenuto il punteggio più alto, mentre i peggiori sono Netflix, Spotify, Uber e Pandora, che non soddisfano nemmeno un requisito tra quelli utilizzati da Dashlane per valutare le sicurezza del sistema di autenticazione degli utenti.

Panorama Edit