Il tema delle password è molto complesso: se è vero che gli esperti di sicurezza informatica ripetono come un mantra la raccomandazione “le password devono essere complesse ed è necessario usarne una differente per ciascun sito allo scopo di ridurre la propagazione del danno”, è altrettanto vero che non possiamo ricordarci un numero elevato di password (per di più complesse). Cosa accade quindi? Accade che un utente tenderà a utilizzare sempre la stessa password: ciò è confermato dalla classifica delle password più ”inflazionate” nel 2016. Sapete che quella più utilizzata è “123456”?
Il problema? E’ presto detto: quando ci rubano le credenziali di Yahoo! il rischio non è tanto che qualcuno possa accedere alla nostra e-mail, ma il fatto che quella password sia la medesima del nostro conto on-line (e ci sottraggono dei soldi) o del sito previdenziale (e ci rubano l’identità).
Come suggerito dall’articolo dei ricercatori della Microsoft “Password portfolios and the Finite-Effort User: Sustainably Managing Large Numbers of Accounts” (https://www.microsoft.com/en-us/research/publication/password-portfolios-and-the-finite-effort-user-sustainably-managing-large-numbers-of-accounts/), l’ideale è identificare e classificare gli account a seconda delle informazioni sensibili che contengono e utilizzare quindi password di complessità differente, in modo da riservare per i siti importanti le password sofisticate. E’ inutile ad esempio avere una “parola d’accesso” forte per accedere ad un sito che consente di scaricare gratuitamente emoticon. Il problema è che molti internauti ancora oggi non percepiscono il valore delle informazioni presenti in un sito rispetto ad un altro. Naturalmente, la maggior parte dei siti di home banking richiedono oggi parole d’accesso complesse e obbligano a cambiarle con una ragionevole frequenza, ma sono ancora molti i siti con informazioni sensibili che dovrebbero modificare le policy di richiesta password.
Come superare il problema mnemonico? Un aiuto per gli utilizzatori è dato da APP o Software specifici, ma un valido suggerimento è passare dal concetto di Password al concetto di Passphrase, un insieme di parole – magari di senso compiuto – che rendono il codice di sicurezza di alto livello e risultano più facili da memorizzare.
Altra questione estremamente importante è l’utilizzo di password da parte di professionisti (o presunti tali) che installano ad esempio software o device IoT nelle aziende o nelle abitazioni: spesso, per comodità, scelgono sempre la stessa password o lasciano la chiave di sicurezza di default indicata sul manuale di utilizzo di un dispositivo (che spesso si trova liberamente in internet). In queste situazioni gli hacker o i ladri fanno festa: l’ultimo gigantesco attacco DDoS (Distributed Denial-of-Service) ha colpito una grande quantità di dispositivi IoT sfruttando questa leggerezza.
Immaginate un operatore di sicurezza che installa telecamere o impianti antifurto utilizzando sempre la stessa password: il furto di una chiave di accesso potrebbe ad esempio disattivare delle telecamere o un antifurto. Il suggerimento? Affidarsi a professionisti di sicurezza, con certificazione di qualità, che applichino le best practice della sicurezza logica a sistemi e infrastrutture di sicurezza fisica. In Axitea questo tema è molto sentito, ma molti attori sul mercato lo sottovalutano.
