venerdì 11 agosto 2017

Il teorico delle password complicate ammette: ho sbagliato tutto

lastampa.it
andrea nepori

Contrordine: le sequenze di caratteri complicate e difficili da ricordare sono inefficaci e cambiarle spesso non serve a nulla. Lo ammette anche Bill Burr, colui che elaborò quei suggerimenti di sicurezza in un documento del 2003



Inserire almeno un numero, un carattere speciale o segni di interpunzione. Cambiare la combinazione come minimo ogni 90 giorni. Sono le regole di sicurezza adottata dalla maggior parte dei servizi Web per raccomandare la scelta di una password sicura. E sono completamente inutili. 

Rimorsi senili
Ad ammetterlo è Bill Burr, colui che quelle regole le ha inventate, nel 2003. Burr, ex dipendente del National Institute of Standards and Technology (NIST), è l’autore della pubblicazione speciale “800-63, Appendix A” del NIST, il documento tecnico di 8 pagine che negli ultimi 14 anni è diventato il riferimento ufficiale per la definizione dei parametri di sicurezza delle password. “Mi pento di quasi tutto quel che ho fatto”, ha detto Burr, oggi pensionato 72enne, in un’intervista al Wall Street Journal. “I miei consigli mandano ai pazzi la gente e alla fine non fanno mai scegliere una buona password”. 

Password sicure
La crescita esponenziale delle violazioni di sicurezza nell’ultimo decennio e le opinioni contrarie di crittografi ed esperti di sicurezza, espresse con sempre maggior frequenza sulle pubblicazioni e alle conferenze di settore, giustificano il rimorso di Burr. Una password quasi illeggibile per un umano non è necessariamente sinonimo di password sicura. Craccare una parola d’accesso come “L4St4mPa”, complicata solo all’apparenza e troppo corta, è un gioco da ragazzi per un computer abbastanza potente e i software giusti. Riuscire a violare una sequenza di parole casuali, lunga ma semplice da ricordare come “LeggoLaStampaPoiFaccioCaffeStendoBucato” è invece pressoché impossible anche per il mainframe più potente. Più che a una parola, meglio pensare insomma ad una frase di accesso.

Nuove direttive
Anche l’obbligo di cambiare la password dopo un periodo prefissato, procedura assurta a dogma e spesso imposta ai dipendenti dai dipartimenti di sicurezza delle aziende, è totalmente inutile. Il motivo è che gli utenti, principalmente per pigrizia, finiscono per cambiare la password aggiungendo soltanto un numero o una lettera alla fine. La modifica delle password dovrebbe essere richiesta solamente in caso di intrusione.

L’ultima revisione del documento del NIST sulle password prende atto di questa e di altre considerazioni. Pubblicato a giugno, è una completa revisione di quello firmato da Burr nel 2003. Lo ha redatto un team dell’ente americano sotto la guida del consulente Paul Grassi. Il progetto, durato due anni, aveva come obiettivo un aggiornamento delle direttive originali. Alla fine le indicazioni sono state riscritte completamente per prendere in considerazione 14 anni di studi in materia di sicurezza e autenticazione online.

Siti poco sicuri
Addossare tutta la colpa al povero Burr, però, sarebbe ingiusto. Lo conferma anche Grassi, secondo cui il collega ha fatto quanto di meglio poteva con le risorse disponibili nel 2003. All’autore del documento originale mancavano i dati statistici che oggi sono derivabili da migliaia di violazioni di sicurezza, analizzate a più riprese dagli esperti per trovare elementi comuni e debolezze delle password più diffuse. E se è vero che quelle indicazioni ormai obsolete hanno avuto spesso l’effetto contrario, favorendo la scelta di password poco sicure, è pure vero che il rischio maggiore alla sicurezza degli account online deriva dalle pratiche errate di siti e servizi web. 

Un recente studio condotto da Dashlane , azienda che sviluppa l’omonimo software per la gestione delle password, ha analizzato 37 tra i più diffusi siti per consumatori e 11 siti aziendali delle maggiori aziende del settore IT. La ricerca ha verificato la presenza di 8 indicatori di sicurezza, tra cui la verifica della ripetizione dei caratteri nelle password (per evitare sequenze come “aaaaaaa” o “1111111”), la presenza di un feedback all’utente sull’efficacia della password scelta, l’implementazione dell’autenticazione a due fattori e le protezioni contro gli attacchi a forza bruta, che provano a scardinare un sistema testando migliaia di password al secondo.

È venuto fuori che il 46% dei siti per consumatori e il 36% dei siti aziendali non include alcuni tra i più rudimentali meccanismi di sicurezza, come ad esempio la richiesta di una password lunga almeno 8 caratteri. GoDaddy è il sito che ha ottenuto il punteggio più alto, mentre i peggiori sono Netflix, Spotify, Uber e Pandora, che non soddisfano nemmeno un requisito tra quelli utilizzati da Dashlane per valutare le sicurezza del sistema di autenticazione degli utenti.