Password difficili e da cambiare spesso? Non è (più?) la soluzione migliore

Password difficili e da cambiare spesso? Non è (più?) la soluzione migliore

Sono sempre più i servizi, i siti e le app che ci impongono credenziali di accesso, senza parlare poi dell'ambito aziendale dove esistono regole di cambio prefissato ogni tot giorni. Ma la tecnologia, anche quella malevola, evolve. E gli umani per le macchine possono essere banalmente prevedibili.

di Alessandro Bordin pubblicato il nel canale Sicurezza
 

Sono sempre più gli esperti di sicurezza informatica ad essere scettici nei confronti di alcune "regole" ritenute preziose per un bel po' di tempo, nel momento in cui ci si trova nella condizione di dover creare una password d'accesso. Oggi sono moltissimi i servizi, le app e i siti che ci impongono di creare un account (e conseguentemente una password) per poterne sfruttare le funzionalità, ben più numerosi di quello che accadeva tempo fa quando, ad esempio, il telefono che avevamo in tasca era un semplice dispositivo per comunicare a voce, senza connessione a internet.

"In molte app e siti si può accedere utilizzando account già utilizzati come quelli di Facebook o Google"

Non solo, in molte app e siti si può accedere utilizzando account già utilizzati come quelli di Facebook o Google, per citare due esempi, facilitandoci così il compito di memorizzare le credenziali di accesso, teoricamente già utilizzate e note. E proprio da questo processo di memorizzazione che nascono i problemi, anche se la questione è più complessa di quello che si può ipotizzare. Un paio di settimane fa Bill Burr (che nulla ha a che fare con l'omonimo comico statunitense) ha concesso una interessante intervista al Wall Street Journal, esprimendo rammarico per alcune linee guida scritte in passato, ovvero quasi quindici anni fa. Lecito farsi una domanda: e chi sarebbe questo Bill Burr?

Il 2003 è l'anno in cui inizia la guerra in Iraq, nasce iTunes store dando il via al fenomeno di massa della musica liquida, viene creata la piattaforma WordPress, l'insopportabile tormentone Chihuahua di DJ Bobo infesta le radio di tutto il mondo e in Italia, giusto per contestualizzare temporalmente il periodo, viene creato il canale satellitare Sky. Nel Maryland, uno stato di cui si parla poco e in cui succede poco, ha sede un'agenzia governativa USA, National Institute of Standards and Technology (NIST), chiamata a redigere scartoffie burocratiche su molte tematiche legate alla tecnologia.

Nulla di fantascientifico, insomma, ma file di scrivanie in cui impiegati e manager sono chini su un lavoro di routine. Ad uno di questi manager, Bill Burr appunto, viene chiesto di stilare un elenco in cui siano presenti suggerimenti per la scelta consapevole e sicura delle password. Il documento di 8 pagine (“NIST Special Publication 800-63. Appendix A"), anche se lui non lo sa, andrà a condizionare la modalità di scelta della password per tutti gli anni a venire, fino ai giorni nostri.  Proprio di quel documento si è scusato in questi giorni Mr Burr, esprimendo rammarico per le conseguenze e frustrazioni che ha causato.

I suggerimenti ci suoneranno molto familiari, poiché ci sono stati chiesti molte volte e continueranno ed essere chiesti ancora per diverso tempo in fase di creazione di un account: no alle parole troppo corte, obbligo di almeno una parola maiuscola e di un numero, meglio se ci mettiamo anche un simbolo strano, da cambiare ogni 90 giorni, insomma tutte quelle "complicazioni" che ci si sono parate di fronte molte volte, generando frustrazione e talvolta incredulità. Tutto è partito da quel documento di Mr. Burr, adottato alla lettera inizialmente nei palazzi governativi USA e poi via via in tutto il mondo.

Bill Burr è rammaricato (poi vediamo perché), ma non possiamo dargli tutte queste colpe: è ed era logico presupporre che quei consigli fossero comunque validi e che innalzassero il livello di sicurezza rispetto a quando non c'erano vincoli per le password. Il problema, piuttosto, siamo noi "umani", la nostra pigrizia e la furbizia malevola di qualcuno. Il rammarico viene dalla consapevolezza, ormai conclamata, che quelle accortezze non solo hanno causato frustrazione, ma sono risultate controporducenti specie negli ultimi anni.

"L'obbligo di utilizzare una password complessa con maiuscole e numeri ha spinto la gente a usare sempre e solo quella per tutto"

I motivi sono molteplici: il primo è che l'obbligo di utilizzare una password complessa con maiuscole e numeri ha spinto la gente a usare sempre e solo quella per tutto, visto che risulta difficile da ricordare con precisione. Impensabile ricordarsi esattamente ogni combinazione usando password diverse per servizi differenti. Si usa sempre quella una volta memorizzata, e via. Conseguenza: se ci viene sottratta una password, siamo verosimilmente vulnerabili su tutti i fronti, considerando che una percentuale molto alta di utenti usa la stessa password. La password in sé è più sicura di una normale, ma i rischi sono paradossalmente più alti rispetto ad avere diverse password semplici.

L'anno scorso abbiamo poi ricordato come anche il cambio della password ogni tot giorni ha mostrato limiti enormi, grazie a uno studio che vi riassumiamo in breve. Analizzando un database di 8000 identità tenute anonime e in disuso in una Università USA, si è scoperto che i cambiamenti fra una password e quella aggiornata alla scandenza sono minime: si sposta la posizione della maiuscola, si incrementa di una unità un numero e cose del genere. Un ipotetico Marco1 diventa conn ottime probabilità Marco2 o mArco1, o se proprio esiste un sistema di controllo avanzato che analizza le differenze, si passa al cognome.

"Un normale PC opportunamente programmato può suggerire in circa 3 secondi le possibili password da 6 caratteri/cifre più probabili. Per le macchine siamo banalmente prevedibili."

Insomma, una percentuale veramente elevata di utenti utilizza uno schema, facile da ricordare ma anche prevedibile per i malintenzionati, che sanno come funzionano le cose. Il computer di guida delle missioni Apollo, che hanno portato l'uomo sulla Luna, aveva una CPU da 2MHz (MHz, non GHz) e 4KB di RAM (non MB, KB). Lo smartphone più scadente che possiamo portarci in tasca oggi è decine di migliaia di volte più potente, fatto che ci permette di capire che certe cose evolvono molto più in fretta di altre. Per me  macchine siamo diventati banalmente prevedibili. A cosa serve questo discorso? Semplice: il 41% delle password di quel database da 8000 utenze è stato violato in 3 secondi, il tempo necessario a un normale PC opportunamente programmato per suggerire le possibili password da 6 caratteri/cifre più probabili. E in questo caso eravamo di fronte all'imposizione di usare maiuscole e numeri, le cose vanno ancora peggio se si analizzano le passowrd richieste da siti, enti o servizi che hanno ancora la password "libera":

  2007 2017
1 password 123456
2 123456 123456789
3 qwerty qwerty
4 abc123 12345678
5 letmein 111111
6 monkey 1234567890
7 myspace1 1234567
8 password1 password
9 blink182 123123
10 nome di battesimo 987654321

Questo è lo sconcertante quadro delle password più diffuse al mondo nel 2007 e nel 2017: si era più fantasiosi allora di oggi. Ingegneria sociale più PC potenti, insomma, possono scardinare in fretta le password oggi di quanto lo facevano anni fa, poiché nel frattempo siamo stati abituati a crearci uno schema per creare password difficili per noi, ma semplicissime per una macchina che conosce bene questi schemi. Utilizzando poi quella stessa password per tutto, ecco che ogni nostra utenza è molto più a rischio di un tempo.

Stiamo inoltre tralasciando la diffusissima e pessima abitudine di scriversi le password complesse imposte, specie in ambito aziendale, lì da qualche parte sulla scrivania o su un post-it sul monitor. Insomma, la soluzione suggerita in quei documenti ha creato più problemi di quanti era chiamati a risolvere.

Le migliori soluzioni, almeno attualmente...

Quindi, cosa si fa?

1. La soluzione migliore era e resta quella della password unica e diversa per ogni account, meglio se molto lunga (aumentando il numero di cifre, aumenta esponenzialmente il tempo di calcolo per indovinarla). Più facile a dirsi che a farsi, però. Oltre a ciò, certi siti assurdamente hanno anche un limite massimo di caratteri utilizzabili per quel campo. Si torna inoltre al problema di come memorizzarla e ricordacela. Ecco che possono assumere senso, almeno nei casi più sensibili, utilizzare servizi come 1Password (esempio a caso fra i molti disponibili), in grado di generare e ricordare password lunghissime e complesse in automatico per ogni account richiesto, il tutto su ogni dispositivo utilizzato, con l'obbligo di ricordarsi unicamente uno username e una password (quella per accedere appunto alla app 1Password). Sebbene anche questi servizi, pur in casi eccezionali, possano avere qualche problema.

2. Se possibile abilitare la verifica in due passaggi, dove ad esempio oltre a username e password è richiesto un secondo step di autenticazione, che passa magari attraverso il nostro smartphone come seconda conferma di accesso autorizzato. Google ad esempio lo permette, così come Facebook.

Sui rilevatori biometrici gli esperti si dividono: se un'impronta digitale o la scansione dell'iride costituiscono sicuramente un ottimo sistema per l'identificazione certa dell'utente, può risultare problematico in molti casi cambiare queste credenziali in caso di violazione, specie se lontani da dispositivi dotati di lettori. Non solo: l'autenticazione attraverso riconoscimento facciale su diversi dispositivi si è più volte visto come possa essere scardinato con una semplice fotografia, quindi si capisce lo scetticismo di molti analisti.

52 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan25 Agosto 2017, 18:55 #1
http://www.repubblica.it/economia/2...vacy-173699097/

«È boom di attacchi che prendono di mira i numeri di cellulari, sempre più spesso porta di accesso ai nostri dati: foto, account Facebook, conti correnti. L'esperto: ecco come avvengono i furti»
jepessen25 Agosto 2017, 19:39 #2
Io uso da anni keepass e lo trovo ottimo per gestire le password, fra generazione, autocompletamento etc
Venturer25 Agosto 2017, 20:32 #3
Una medaglia a chi usa "letmein" (fammi entrare) e blink182 (anche se erano solo password risalenti al 2007).

Ma tra tutti i gruppi musicali "mostri sacri" della storia proprio i "Blink" dovevano diffondersi nell'immaginario collettivo come password universale?

Capisco che magari U2 e Queen suonavano troppo semplici....ma Beatles, PinkFloyd o RollingStones ci sarebbero state alla grande!
Ultravincent25 Agosto 2017, 21:47 #4
ma e' chiaro! non possono pretendere di farmi ricordare 50 password complesse.
LMCH25 Agosto 2017, 22:44 #5
Originariamente inviato da: Venturer
Una medaglia a chi usa "letmein" (fammi entrare) e blink182 (anche se erano solo password risalenti al 2007).

Ma tra tutti i gruppi musicali "mostri sacri" della storia proprio i "Blink" dovevano diffondersi nell'immaginario collettivo come password universale?

Capisco che magari U2 e Queen suonavano troppo semplici....ma Beatles, PinkFloyd o RollingStones ci sarebbero state alla grande!


Probabilmente ha a che fare con il classico requisito "almeno 8 caratteri con lettere E numeri"
reggiolas26 Agosto 2017, 02:17 #6
Non ho mai capito come faccia la gente a fare tutta questa fatica a inventare e ricordare le password, io avrò una quarantina di account, tutti con password di almeno di 10/15 caratteri e tutte diverse. Il segreto sta nel creari delle regole di base. Non mi sono mai fidato dei portapassword e delle autenticazioni centralizzate, nulla é infallibile, sopratutto ciò che é interessante violare
Vash8826 Agosto 2017, 02:47 #7
Attualmente ho circa 300 account con password uniche e complesse, questa pratica già più volte ha isolato il leaking di una password da parte di qualche sito web compromesso.

Usare un password manager è il miglior metodo ma nonostante sia molto ben protetto c'è sempre la possibilità che in futuro venga violato. E' una questione di fiducia. Non ho fiducia nella mia memoria ma in qualcuno dovrò pur riporla.
Rinz26 Agosto 2017, 13:59 #8
Ho decine e decine di password diverse e il metodo migliore per ricordarsele tutte è.... scriverle.
Ho un foglio (opportunamente camuffato da tutt'altro) dove le ho scritte tutte quante, non mi fido nemmeno della mia memoria.

Non ho mai memorizzato nessuna password "importante" sul browser, a parte quella di HWU e di altri siti minori.
tallines26 Agosto 2017, 14:40 #9
Originariamente inviato da: Rinz
Ho decine e decine di password diverse e il metodo migliore per ricordarsele tutte è.... scriverle.
Ho un foglio (opportunamente camuffato da tutt'altro) dove le ho scritte tutte quante, non mi fido nemmeno della mia memoria.

Non ho mai memorizzato nessuna password "importante" sul browser, a parte quella di HWU e di altri siti minori.

Quoto

Infatti i vecchi metodi sono i migliori: verba volant, scripta manent .

E' pericoloso tenerle scritte anche su un foglio di word o di excel, al limite su un documento di testo.........ma la carta è meglio
giuliop26 Agosto 2017, 16:33 #10
Originariamente inviato da: Rinz
Ho decine e decine di password diverse e il metodo migliore per ricordarsele tutte è.... scriverle.
Ho un foglio (opportunamente camuffato da tutt'altro)


Tipo da ornitorinco? O ci scrivi "Le mie memorie" come titolo?

A parte gli scherzi, sono curioso, come fai a camuffare un foglio di carta con le password scritte sopra?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^