Sicurezza password: ci vuole metodo

Maurizio Tondi è Vice President Strategy Axitea. Ci ha inviato questo commento, a seguito del nostro articolo sull'analisi della sicurezza delle password, che volentieri riprendiamo

Il tema delle password è molto complesso: se è vero che gli esperti di sicurezza informatica ripetono come un mantra la raccomandazione “le password devono essere complesse ed è necessario usarne una differente per ciascun sito allo scopo di ridurre la propagazione del danno”, è altrettanto vero che non possiamo ricordarcene un numero eccessivamente elevato (per di più complesse).

Cosa accade quindi? Accade che un utente tenderà a utilizzare sempre la stessa password: ciò è confermato dalla classifica delle password più ”inflazionate” nel 2016, dal quale emerge che anche lo scorso anno quella più utilizzata è stata “123456”.
Il problema? E’ presto detto: quando ci rubano le credenziali di Yahoo! il rischio non è tanto che qualcuno possa accedere alla nostra e-mail, ma il fatto che quella password sia la medesima del nostro conto on-line (e ci sottraggono dei soldi) o del sito previdenziale (e ci rubano l’identità).

Anche nelle password ci vuole metodo

Come suggerito dall’articolo dei ricercatori Microsoft “Password portfolios and the Finite-Effort User: Sustainably Managing Large Numbers of Accounts”: l’ideale è identificare e classificare gli account a seconda delle informazioni sensibili che contengono e utilizzare quindi password di complessità differente, in modo da riservare per i siti importanti quelle più sofisticate.
E’ inutile ad esempio avere una “parola d'accesso” forte per accedere ad un sito che consente di scaricare gratuitamente emoticon.

Il problema è che molti ancora oggi non percepiscono il valore delle informazioni presenti in un sito rispetto ad un altro. Naturalmente, la maggior parte dei siti di home banking richiedono oggi parole d'accesso complesse e obbligano a cambiarle con una ragionevole frequenza, ma sono ancora molti i siti con informazioni sensibili che dovrebbero modificare le policy di richiesta password.

Dalla password alla passphrase

Come superare il problema mnemonico? Un aiuto per gli utilizzatori è dato da APP o Software specifici, ma un valido suggerimento è passare dal concetto di Password al concetto di Passphrase, un insieme di parole - magari di senso compiuto - che rendono il codice di sicurezza di alto livello e risultano più facili da memorizzare.
(Nell'immagine in calce un esempio)

passphrase

Attenzione all'IoT

Altra questione estremamente importante è l’utilizzo di password da parte di professionisti (o presunti tali) che installano ad esempio software o device IoT nelle aziende o nelle abitazioni: spesso, per comodità, scelgono sempre la stessa o lasciano la chiave di sicurezza di default indicata sul manuale di utilizzo di un dispositivo (che spesso si trova liberamente in internet). In queste situazioni gli hacker o i ladri fanno festa: l’ultimo gigantesco attacco DDoS (Distributed Denial-of-Service) ha colpito una grande quantità di dispositivi IoT sfruttando questa leggerezza.
Immaginate un operatore di sicurezza che installa telecamere o impianti antifurto utilizzando sempre la stessa password: il furto di una chiave di accesso potrebbe ad esempio disattivare delle telecamere o un antifurto.
Il suggerimento? Affidarsi a professionisti di sicurezza, con certificazione di qualità, che applichino le best practice della sicurezza logica a sistemi e infrastrutture di sicurezza fisica. In Axitea questo tema è molto sentito, ma molti attori sul mercato lo sottovalutano.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here