Password, l'obbligo di cambiarle è spesso controproducente

Essere obbligati a cambiare spesso le proprie password non solo non migliora il livello di sicurezza ma, anzi, lo può peggiorare. Un'opinione abbastanza curiosa, che va in netta controtendenza a quelli che sono gli abituali "consigli della nonna" in tema di sicurezza informatica e alle pratiche più comuni adottate in moltissime aziende e organizzazioni amministrative.

Ancor più curioso il fatto che questa opinione sia quella di Lorrie Cranon, chief technologist presso la Federal Trade Commission statunitense, cioè l'agenzia che si occupa di monitorare e garantire il rispetto delle regole sul mercato USA. Una realtà per la quale la sicurezza delle informazioni è sicuramente tra i primissimi posti della scala delle priorità.

Ars Technica racconta che tutto nasce da un tweet diffuso poco dopo la nomina di Cranon a Chief Technologist, nel quale l'FTC si rivolgeva al pubblico: "Incoraggiate i vostri cari a cambiare spesso la password, componendone una che sia lunga, robusta e unica".

Cranor, in precedenza docente presso la Carneige Mellon University, ha raccontato in occasione del BSides di Las Vegas: "Ho visto questo tweet e mi sono chiesta - Perché l'FTC dice a tutti di cambiare la password? - Mi sono recata dalle persone che si occupano della gestione dei social media e ho girato loro la domanda, i quali mi hanno risposto: dovrebbe essere una buona pratica perché qui all'FTC cambiamo password ogni 60 giorni". Il principio di fondo è che la rete di un'organizzazione (di qualsiasi tipo: azienda, ente, agenzia, accademia e via discorrendo) può avere attaccanti al suo interno che ancora non sono stati individuati e che possono essere messi fuori gioco da un frequente cambio di password.

Di diverso avviso, tuttavia, è Cranor che basa la propria opinione su una serie di ricerche condotte di recenti le quali mettono in luce come le pratiche di cambio obbligatorio delle password sono più dannose che utili. La Chief Technologist dell'FTC ha quindi deciso di confrontarsi con il Chief Technology Officer e il Chief Information Security Officer proprio su questo aspetto, mostrando loro uno studio pubblicato nel 2010 dai ricercatori dell'University of Carolina at Chapel Hill.

I ricercatori hanno recuperato gli hash crittografici di circa 8 mila account scaduti che in precedenza appartenevano ad impiegati dell'università, studenti o insegnanti e ai quali è stato imposto di cambiare le proprie password ogni tre mesi. I dati ottenuti dai ricercatori comprendevano non solo l'ultima password usata ma anche quelle cambiate nel corso del tempo. Lo studio di questa miniera di informazioni ha permesso di identificare una serie di tecniche abbastanza comuni che i titolari di un account mettono in pratica quando si trovano a dover cambiare password a cadenze prefissate.

Una password come ciaomamma#1 diventa frequentemente cIaomamma#1 dopo il primo cambio, ciAomamma#1 dopo il secondo cambio e via discorrendo, oppure ciaomamma#11 al primo cambio e ciaomamma#111 al secondo cambio, oppure ancora ciaomamma#2, ciaomamma#3 e così via. "I ricercatori UNC hanno osservato che se le persone devono cambiare password ogni 90 giorni tendono ad usare uno schema prefissato e fanno ciò che si chiama trasformazione: prendono la vecchia password, ne cambiano qualche elemento, e ottengono la nuova password" ha sottolineato Cranor.

Quando si è obbligati a cambiare password con frequenza, si usano schemi di trasformazione facili da individuare.

Quanto individuato è stato utilizzato dai ricercatori per sviluppare una serie di algoritmi capaci di indovinare i cambiamenti con un elevato grado di accuratezza, mettendoli alla prova in una simulazione real-world per verificare la loro efficacia. Nel caso di attacchi online, dove la tecnica è quella di compiere un elevato numero di tentativi per indovinare una password prima che la rete presa a bersaglio metta fuori gioco gli attaccanti, l'algoritmo ha violato il 17% degli account presi di mira in meno di cinque tentativi. In una simulazione offline compiuta sugli hash recuperati in precedenza e usando sistemi di calcolo ad elevate prestazioni, il 41% delle password cambiate è stato violato entro tre secondi.

A corollario di ciò un altro studio, questa volta ad opera dei ricercatori della Carlton University, ha offerto una dimostrazione matematica di come frequenti cambi di password vadano ad ostacolare solo minimamente gli attaccanti e comunque non in maniera tale da compensare le noie dell'utente finale nel dover ottemperare all'obbligo. Nel corso degli anni anche altre realtà come il National Institute of Standard and Technology statunitense e l'agenzia governativa britannica CESG hanno preso atto di come i cambi di password obbligatori siano inefficaci e controproducenti. E ora, sulla spinta della posizione di Cranor, anche l'FTC sta iniziando ad essere dello stesso avviso.

"Sono contenta che per due delle mie sei password governative non vi sono più obblighi di variazione prefissati. Stiamo ancora lavorando al resto" ha affermato Cranor.