Questo sito contribuisce all'audience di

“Stop alle maxi-password, la chiave giusta è originale”

di Posted on
Condivisioni

CONTRORDINE, internauti di tutto il mondo: “Una password sicura non deve essere necessariamente lunga e complicata”. A dirlo sono due ricercatori del colosso informatico Microsoft, Stuart Schechter e Cormac Herley, che hanno realizzato uno studio specifico 1 assieme a Michael Mitzenmacher della Harvard University. La loro ricerca e’ partita da una considerazione secondo cui, su base mondiale, centinaia di migliaia di persone finiscono per scegliere le stesse password.

Le password “popolari”. La conferma di cio’ che si e’ sempre supposto si e’ avuta dal Social Media “Rock you” che, nel 2009, a causa di una falla nei sistemi informatici, ha reso pubbliche 32 milioni di credenziali di suoi iscritti. Da una loro analisi statistica si e’ visto come esistano vere e proprie password “popolari”, ovvero identiche combinazioni di caratteri scelte da un ampio numero di utenti. Il problema, a questo punto, e’ che i pirati informatici conoscono perfettamente queste password e le sfruttano per i loro attacchi a migliaia di diversi account web. Dal momento che queste password sono molto popolari, e’ statisticamente molto probabile che prima o poi l’attacco vada a buon fine.

Combinazioni complicate, pro e contro. L’ideale sarebbe quindi scegliere password non popolari. Per crearle esistono diversi programmi che le generano a partire da numeri casuali o da informazioni relative all’utente quali il nome o il suo indirizzo IP. Per renderle robuste si utilizzano criteri come la lunghezza, di almeno 8 caratteri (meglio se 14), la presenza di cifre, caratteri speciali e le maiuscole. Tuttavia queste password, anche se decisamente piu’ sicure, sono troppo lunghe e nel tempo diventano difficili da ricordare, soprattutto per via dell’alto numero di chiavi associate a email, social network, conto online e chat.

La chiave e’ l’originalita’. Insomma, se sono complicate alla lunga lo sono anche per noi. Questa difficolta’, secondo i ricercatori americani, potrebbe essere superata se si convincessero gli internauti a scegliere password piu’ “originali”. Il concetto base e’ che non e’ tanto importante che la password sia lunga e complicata quanto che sia poco utilizzata sul web. Ecco il punto. Combinazioni di questo tipo consentirebbero infatti di porre gli utenti al riparo da attacchi di pirati informatici che adoperano le cosidette “password popolari”. Inoltre gran parte degli account internet bloccano l’accesso all’area personale se la combinazione di accesso errate viene digitata piu’ volte e in successione. In questo modo vengono scongiurati i rischi di quello che si chiama un attacco “a forza bruta”, ovvero tentativi di accesso effettuati da programmi che generano automaticamente coppie di username e password e li provano in sequenza. Fino a individuare quella giusta.

La proposta. I ricercatori spiegano la loro soluzione: creare, in collaborazione con i maggiori fornitori mondiali di servizi internet come Yahoo!, eBay e Google, un database in cui vengono memorizzate tutte le password “poco popolari”. Quando una di queste diventa ‘”troppo popolare”, ovvero quando il numero di utenti che la utilizza supera una certa soglia, essa non dovrebbe essere piu’ disponibile e selezionabile per la creazione di nuovi account. I due ricercatori hanno tenuto a sottolineare come la loro sia al momento solo una proposta con lo scopo di stimolare discussione tra chi lavora alla sicurezza informatica anche se al momento non ci sono piani su un eventuale utilizzo da parte di Microsoft.

I margini di rischio. L’idea potrebbe tuttavia presentare degli effetti collaterali. Il primo e piu’ evidente e’ che per utente che crea un suo nuovo account internet possa risultare difficile individuare una password che sia allo stesso tempo “facile da ricordare” e non “troppo popolare”. In secondo luogo se la password diventa troppo corta, anche se cifrata, una volta trasmessa sulla rete internet puo’ essere intercettata e decodificata in tempi decisamente molto brevi. Infine, affinche’ la proposta possa avere successo, e’ necessario che venga fatta propria da tutti i big dei servizi su web,a livello planetario. Saranno infatti i maggiori service provider a dover creare questo database, aggiornando costantemente le statistiche d’uso di una singola password e adottando tutti i sistemi necessari alla protezione delle informazioni.