Password sicure: le regole cambiano. Ecco come

Set 11, 2017 Marco Schiaffino Approfondimenti, Gestione dati, In evidenza, Privacy, RSS 2

Tutte le precauzioni che usiamo di solito sono ormai obsolete. Ecco come dovrebbe essere la password del futuro.

Aspettando che i sistemi di identificazione biometrici (dalle impronte digitali al riconoscimento dell’iride passando per il riconoscimento vocale) dimostrino la loro efficacia e raggiungano la maturità per sostituire i metodi tradizionali, la classica accoppiata username e password rimane il sistema più abbordabile.

Una volta appurato che non ci sono alternative praticabili alla cara vecchia password, resta il problema di quali regole e accorgimenti scegliere per assicurarsi di confezionarne una abbastanza sicura da resistere ai tentativi di violazione dei cyber-criminali.

I canoni a cui ci siamo ispirati fino a oggi, infatti, stanno mostrando tutti i loro limiti. La dimostrazione è il fatto che un gruppo di ricercatori sia riuscito a violare 320 milioni di password protette da hash in una manciata di giorni.

Ad affrontare il problema ci ha pensato G Data, che in un post pubblicato su Internet anticipa quelle che potrebbero essere le nuove linee guida per creare e gestire una password sicura.

Il punto di partenza è il superamento delle vecchie regole, come confermato anche da un funzionario dell’Istituto Nazionale degli Standard e delle Tecnologie (NIST) americano, che ha “chiesto scusa” per aver tartassato gli utenti con obblighi che non servono più a garantire la sicurezza delle password.

L’autocritica prende le mosse prima di tutto dalle valutazioni sul rapporto tra sicurezza e lunghezza della password. Un tema che non è nuovo e che molti esperti hanno affrontato negli ultimi mesi (anni?) sollevando dubbi sull’efficacia della logica per cui una password lunga e complessa sarebbe più sicura.

In primo luogo perché una password con queste caratteristiche è terribilmente difficile da ricordare e gli utenti costretti a utilizzarla finirebbero invariabilmente per appuntarsela da qualche parte (magari sul classico post-it appiccicato sul monitor) frustrando qualsiasi velleità di proteggere le credenziali.

In teoria una password lunga e composta da caratteri, numeri e simboli casuali sarebbe molto sicura. Ma chi diavolo riesce a ricordarsela?

In secondo luogo perché, rispetto a un tempo, software e hardware utilizzati dai cracker si sono notevolmente evoluti e sono in grado di scardinare anche password complesse in tempi tutto sommato accettabili.

Sul banco degli imputati anche l’idea che sia indispensabile cambiare la password periodicamente. La critica a questo dogma (di cui abbiamo già parlato in questo articolo) ha a che fare ancora una volta col rischio che gli utenti non riescano a ricordare la password o che finiscano per sceglierne una molto simile alla precedente proprio nel timore di dimenticarsela.

Meglio piuttosto, spiegano dalle parti di G Data, cambiare la password solo quando ci sono indizi che sia stata scoperta in qualche modo. Certo: questo significa mettere in campo una rivoluzione copernicana nelle policy di sicurezza, facendo riferimento per esempio a un monitoraggio di quanto accade sul Web controllando siti come HaveIBeenPwned per capire se le password utilizzate siano state coinvolte in qualche leak su larga scala.

Anche per quanto riguarda la complessità, passi in avanti possono essere fatti modificando le classiche regole per la definizione delle password. Di solito, per esempio, i sistemi di registrazione non ammettono alcuni caratteri speciali (come gli spazi) che permetterebbero agli utenti di creare password altrettanto complesse ma più facili da ricordare, per esempio usando intere frasi.

Smetterla, poi, di pensare che fissare regole estremamente rigide possa portare a qualche vantaggio. Sorvolando su casi assurdi come quello di cui abbiamo riferito riguardante la Piattaforma Rousseau del Movimento 5 Stelle (in cui pare le password non possano essere più lunghe di 8 caratteri) anche quelle che sembrano più sensate (e che fissano un limite minimo al posto di un surreale limite massimo) rischiano di essere controproducenti.

L’abitudine di imporre un numero minimo di 8 caratteri, per esempio, ha una serie di effetti indesiderati. Primo: la maggior parte degli utenti sceglie password composte esattamente da 8 caratteri (tra quelle individuate nel caso di cui abbiamo parlato la scorsa settimana erano oltre il 30%) rendendo la vita più facile ai pirati informatici.

I calcoli per individuare una password di cui si può supporre a priori la lunghezza, infatti, sono molto più agevoli di quelli necessari per individuare una password dalla lunghezza sconosciuta.

In secondo luogo, il fatto che le date di nascita siano composte esattamente da 8 caratteri (ggmmaaaa) rischia di diventare una tentazione irresistibile per gli utenti che vogliono scegliere un a password facile da ricordare.

Per quanto riguarda la protezione delle password sui server, le regole sono sempre le stesse: mai memorizzarle in chiaro ma utilizzare sempre un sistema di codifica che complichi la vita a eventuali pirati informatici che riescono a introdursi nei sistemi.

La sicurezza della password dipende anche da chi gestisce i server su cui ci dobbiamo autenticare. Hashing e salting sono indispensabili per evitare che un’intrusione possa trasformarsi in un disastro.

Sotto questo profilo, il sistema di protezione migliore è l’hashing, che a differenza della crittografia rappresenta una procedura a senso unico (è impossibile individuare una chiave che permetta di ricavare tutte le password) e che, pur non essendo insuperabile, è un ottimo argine a eventuali attacchi.

Indispensabile anche il salting, che “allunga” le stringhe e rende ancora più complicati i calcoli per ricavare le password dagli hash eventualmente sottratti al sito.

La stessa importanza dovrebbe avere l’implementazione di un sistema di autenticazione a due fattori, che obblighi gli utenti a utilizzare, insieme alle classiche credenziali composte da username e password, un ulteriore strumento di verifica come un codice univoco generato da smartphone o token per accedere ai servizi.

In questo ambito, precisano gli esperti di G Data, bisogna fare qualche distinguo. In particolare riguardo l’uso degli SMS come strumento di autenticazione a due fattori, che in molti casi hanno mostrato qualche limite in termini di affidabilità a causa del rischio che vengano intercettati o estorti attraverso malware o altre tecniche di attacco.

Resta valida, invece, la regola che impone di non usare la stessa password per più servizi. Il motivo (lo abbiamo ripetuto decine di volte su queste pagine) è che se un pirata informatico riesce a mettere le mani sulle nostre credenziali di accesso a un sito Internet, per esempio violandone i server, potrà provare di usarle anche per altri servizi. Se abbiamo usato la stessa password, siamo fregati.

Condividi l'articolo