La sicurezza passa solo da password complicate? Microsoft dice di no

Impostare una password alfanumerica di 18 caratteri, con lettere maiuscole e minuscole, che non abbia un senso compiuto rappresenta a oggi il massimo livello di sicurezza che un utente può garantire ai propri account. Il rovescio della medaglia è però la difficoltà di memorizzazione e di digitazione della stessa sulla tastiera: un circolo vizioso che non sembra poter avere una soluzione.

Alcuni ricercatori di Microsoft hanno però identificato una possibile via per garantire l'impiego di password piuttosto semplici senza tuttavia rendere l'intero sistema più vulnerabile a possibili attacchi hacker. Il nuovo schema, almeno secondo le informazioni fornite da Technology Review, non andrebbe a lavorare sulla complessità della password per incrementare la sicurezza del sistema, quanto piuttosto a limitare l'uso delle password semplici ad un numero ristretto di utenti: sarebbe così possibile tenere invariato il livello di sicurezza.

Le sempre crescenti richieste circa la complessità delle password sono al momento l'unico modo che i responsabili della sicurezza hanno per evitare di subire con successo quelli che vengono definiti "dictionary attack". Senza queste richieste però, le persone molto spesso scelgono passsword facili da ricordare e brevi da digitare: la tecnica di attacco "dictionary attack", una delle più diffuse per sottrarre password, prevede un attacco basato su dizionari prestabiliti, bombardando un alto numero di utenti. A livello statistico quindi, anche se un account viene bloccato dopo diversi tentativi di accesso, cambiando account con cui provare l'hacker otterrà sempre un buon risultato. L'attacco non si concentra infatti su di un solo utente ma prova la password più comune o quelle più comuni su centinaia di migliaia di utenti allo stesso tempo.

A titolo di esempio, quando vennero pubblicate innavertitamente le password dei 32 milioni di utenti del social media RockYou, oltre la metà erano parole di senso compiuto, che si trovano facilmente quindi nei più comuni dizionari.

L'approccio studiato dai ricercatori di Microsoft viene descritto in questo documento. Di fatto, secondo quanto riportato dall'autore semplicemente scambiando le regole di creazione delle password con le limitazioni di popolarità delle stesse, è possibile aumentare il livello di sicurezza e di usabilità. Di fatto visto che una determinata password non potrà mai diventare tanto popolare, gli attacchi saranno meno efficaci. Il sistema se efficace potrebbe essere applicato su realtà con elevati numeri di utenti, come ad esempio Hotmail.

Al momento affermano Stuart Schechter e Cormca Herley, i due ricercatori di Microsoft, il nuovo schema di sicurezza non sarà implementato in alcun prodotto della società di Redmond: allo stato attuale delle cose lo schema è in mano ad un gruppo di studio per avere diversi feedback.