Tutto è iniziato a metà degli anni novanta quando, avuto il primo bancomat, ho dovuto familiarizzare con il PIN. Cinque numeri che ho imparato a memoria con facilità ed orgoglio. Poi è arrivato il codice di accesso del primo cellulare, ma era ancora un gioco. Con il tempo e l’affermazione del web, le password si sono moltiplicate a dismisura: posta elettronica, account del pc, profilo sui social media, siti per gli acquisiti on oline, ecc. Oggi, in media, gestiamo oltre trenta password. E il gioco iniziale si è man mano trasformato in una causa di stress (senza contare le riflessioni correlate al tema dell’eredità digitale).
(immagine tratta da The Economist, Speak, friend, and enter, 24 marzo 2012)
L’argomento è stato trattato da diversi ricercatori e dato origine a molte riflessioni sul tema. Gli incubi maggiormente ricorrenti: il furto di identità e la perdita di memoria.
Iniziamo dal furto di identità. Una recente indagine effettuata da Joseph Bonneau, PhD con il Security Group of the University of Cambridge Computer Laboratory, ha dimostrato, attraverso l’analisi statistica di circa 70 milioni di combinazioni alfanumeriche delle caselle di posta Yahoo!, che le chiavi di accesso italiane, per problemi connessi al dizionario informatico – che contiene tutte le parole e le combinazioni di lettere della nostra lingua – sono semplici da scardinare. Infatti, il ricercatore ha riscontrato che ogni mille tentativi vengono violate il 14,6% delle password italiane.
L’analisi di Bonneau, riportata anche dal Corriere della Sera, spiega anche come la stragrande maggioranza delle caselle di posta, in tutto il mondo, non abbia mai cambiato la password iniziale: 3 su 4 l’hanno mantenuta a lungo, anche per più di cinque anni. E ancora: gli uomini, di solito, scelgono chiavi di accesso più vulnerabili delle donne (in modalità online) e quelli a cui è stata violata l’e-mail finiscono per optare per password comunque poco sicure.
La soluzione appare semplice: rispettare le regole per la definizione delle password (almeno 8 caratteri,di cui almeno uno in maiuscolo, un carattere speciale, l’utilizzo di combinazioni alfanumeriche, ecc) ed evitare, ad esempio, di utilizzare sempre le stesse password per i diversi tipi di account, oppure i nomi delle mogli/mariti/figli o le date di nascita/matrimonio/evento speciale. Eppure non accade se, tra le password preferite ci sono “123456″ e “qwert”
Definire una password non è però un gioco per ragazzi e soprattutto occorre rassegnarsi che neanche le password sono per sempre! Scartate quindi, per ragioni di opportunità, le password legate a situazioni sentimentali, esistono varie soluzioni a cui fare riferimento.
Una prima possibilità, basata sulla memoria, è quella di definire una frase di senso compiuto e provare a criptarla prendendo ad es. le lettere iniziali; quindi “segnalazionit è il mio blog preferito” diventerebbe “sèimbp”
Chi ha poca fantasia può fare ricorso ad un applicativo come Passwordbird che genera, con poche indicazioni, una password che risponde agli standard di sicurezza.
E’ eviidente che più articolate e complesse sono le password più è facile dimenticarle ed essere quindi in preda a veri e propri vuoti di memoria (il secondo e correlato problema).
Per cercare di attenuare questo rischio, da un po’ di tempo, i vari gestori di servizi web forniscono strumenti per consentire il recupero della password dimenticata. In molti casi, ad esempio chiedono di scegliere una frase riservata di cui conosciamo la risposta. Il problema è che non sempre la risposta è così semplice, spesso, ad esempio è legata al momento in cui abbiamo aperto quello specifico profilo. Non possiamo quindi dire di essere al sicuro. Inoltre, con questa soluzione, siamo nelle mani del gestore del servizio a cui abbiamo dato l’autorizzazione a memorizzare la nostra password sui propri server. Pertanto, un attacco ai suoi server metterebbe a rischio la nostra privacy. Sarebbe quindi preferibile evitare i servizi di recupero delle password e provare a trovare altre soluzioni.
Il metodo alternativo più immediato è di scriverle su un foglietto. In questo caso occorre rispettare alcune regole di base che possono aiutarci a sistematizzare le password e ricordarle più facilmente:
- evitare di scrivere solo le password con il rischio di non essere poi in grado di associarle al profilo giusto;
- scrivere sempre nello stesso ordine: indirizzo web, nome utente, password;
- distinguere sempre tra maiuscole e minuscole;
- scrivere zero oppure “Ø” per non confonderlo la lettera O;
- adottare un indirizzo email e una password fissa per tutti i siti web che si vuole solo provare;
- usare sempre un antivirus ed antispyware per non farsi rubare, mentre si digitano, le password.
Ovviamente occorre aggiornare continuamente le password, via via che cambiano, e tenere in un luogo sicuro ma non segreto il foglietto-memo (evitare quindi di lasciare post-it con le password sul desktop).
Altro sistema intuitivo è trasformare l’elenco di password in una specie di tabellina, una sorta di mantra dei tempi moderni, da ripetere ossessivamente ogni mattina. Anche questa soluzione non mette al riparo da imprevisti vuoti di memoria.
Una possibile alternativa che offre maggiori garanzie sotto il profilo della sicurezza è il ricorso ad un porta-password criptato.
Ci sono molti sistemi che permettono di memorizzare in forma criptata tutti i propri account: alcuni sono servizi online (es. Clipperz e Passpack), altri sono software da scaricare sul proprio computer che usano algoritmi per criptare i dati memorizzati e forniscono un’interfaccia comoda per registrare le varie credenziali di accesso e usarle velocemente (spesso con un click su un pulsante “collegamento diretto”).
L’offerta è molto ampia e spazia da soluzioni open source a soluzioni proprietarie che rendono possibile la gestione delle proprie password sia sui pc sia sugli smartphone. Di seguito una breve rassegna non esaustiva.
- KeePass, applicativo Open Souce, genera e salva le password in un database criptato, non ha bisogno di installazione e può essere esportato ovunque così da avere tutte le nostre password pronte per l’uso.
- Securpass Freeware, simile a Keepass, salva e genera le password (cifrandole con algoritmi a 256 bit considerati tra i più sicuri, l’AES e il Twofish) di qualsiasi tipo di file (video, audio, documento, ecc.) e le invia tramite email.
- KeyMaster permette l’archiviazione e la consultazione delle password memorizzate e di bloccare l’applicazione rapidamente per negare la visualizzazione delle password a che si trova casualmente di passaggio davanti al monitor. Un’altra caratteristica di sicurezza supplementare è il blocco automatico dopo 20 minuti di inattività dell’applicazione.
- LastPass, prevede la possibilità di immagazzinare le password ed informazioni riservate in un database online crittografato a cui è possibile accedere solo tramite una password principale. Funziona in cloud e questo consente di accedere alle informazioni da qualsiasi computer oltre che da dispositivi mobili Android e iPhone. Tutte le comunicazioni con il server sono sicure e crittografate usando SSL (stesso sistema delle banche)
- 1Password, applicativo che fornisce le medesime caratteristiche di quelli analizzati precedentemente ma a pagamento e quindi con maggiori servizi, anche personalizzabili.
Il concetto che sta dietro tutte queste applicazioni è abbastanza semplice: sostituire le enne password di cui abbiamo bisogno con una master-password (magari generata dal programma stesso), molto lunga e complessa, composta anche da 20 caratteri misti e senza alcun senso compiuto che ci consente di accedere alla lista di password vere e proprie. E’ evidente che la master password dovrà essere, a sua volta, conservata in un luogo sicuro e memorizzata (!).
Il problema, comunque lo si affronti non è di natura squisitamente informatica. Bruche Schneier (definito da The Economist “security guru”) nell’articolo A security patch for your brain sostiene che ”chi pensa di risolvere i problemi della sicurezza informatica con la tecnologia, non ha capito il problema e non ha capito la tecnologia”. Occorre quindi, in primo luogo, potenziare le propria memoria ed adottare password ricostruibili e non uniche così da evitare il rischio di dover esclamare: ”Avevo perso la password della mia vita”!
Grazie a Roberto Cotroneo per la citazione del Titolo.
@robertocotroneo ”Avevo dimenticato la password della mia vita“. 16 luglio 2012, 21:51. Tweet.
Leave Your Response