Password sicure. Nuovi comportamenti

fonte: https://sabmcs.wordpress.com/2017/09/05/le-password-complesse-sono-sorpassate/

“La tua password non soddisfa le linee guida di sicurezza” – questo messaggio non sarà più fonte di irritazione per gli utenti dato che le raccomandazioni in merito alla composizione delle password sono state aggiornate. Le linee guida della NIST, di ormai 14 anni orsono, sono attualmente oggetto di revisione. Questo articolo illustra perché.

Bochum, 5 settembre 2017 – Qualche giorno fa, un funzionario dell’Istituto Nazionale degli Standard e delle Tecnologie (NIST) americano, oggi in pensione, ci ha sorpresi: si è scusato pubblicamente per un documento che scrisse nel 2003. Il documento conteneva raccomandazioni per rendere le password più robuste, raccomandazioni seguite da innumerevoli organizzazioni e piattaforme online. All’atto pratico però gli utenti non possono (e non vogliono) ricordare una password sicura basata su tali parametri, ad esempio “yxc^Vo![“$§oAIS@nrvkeu}ih5tK.-n27\fd “. E anche se potessero, password così composte non contribuiscono minimamente alla sicurezza. Se un certo insieme di criteri per la composizione di una password sicura è noto, un computer può infatti scartare interi gruppi di potenziali password. Se si suppone che una password abbia una lunghezza massima di 16 caratteri e che il primo carattere non sia un carattere speciale, si escludono automaticamente un paio di milioni di combinazioni. Se il sistema sa che la password contiene solo un carattere speciale (ove ad esempio spazi o dieresi non sono consentiti), si riduce ulteriormente il numero di possibili combinazioni. Dizionari e “tabelle arcobaleno” semplificano ulteriormente l’attività di un computer. La costante riduzione dei costi necessari per incrementare la potenza di calcolo dei sistemi è un ulteriore motivo a favore di una totale revisione delle regole attuali. L’uomo semplifica Le linee guida implementate nelle aziende per la creazione di nuove password sono motivo di frustrazione per i dipendenti su scala globale. Obbligati a cambiare la password a intervalli regolari, gli utenti devono spesso seguire criteri quali:

  1. Lunghezza di almeno 8 caratteri  – Alcune piattaforme definiscono anche la lunghezza massima della password (16 caratteri) o la tipologia di determinati caratteri, ad esempio “il primo carattere non può essere un carattere speciale”
  2. Giusto mix di lettere maiuscole e minuscole
  3. La password deve contenere almeno un carattere speciale e una cifra; non sono ammessi spazi
  4. E’ vietato riutilizzare una password impiegata negli ultimi 12 mesi

Se da un lato lo scopo primario del documento era quello di sbarazzarsi di password troppo facili da indovinare sostituendole con password più forti e complesse quindi meno decifrabili, dall’altro gli esseri umani tendono a semplificarsi la vita: “P@$$w0rd” ad esempio è una password lunga 8 caratteri, contiene lettere maiuscole e minuscole, tre caratteri speciali e una cifra, parametri che soddisfano tutte le linee guida di sicurezza. Dopo tre settimane viene chiesto all’utente di cambiare la password. Sempre volendo semplificare le cose, l’utente reitera la password con una variazione minima, “P@$$w0rd2”. Tre settimane dopo sarà “P@$$w0rd3”, e così via. Questa procedura, unitamente alle linee guida di cui sopra, ha dato origine a password che sono davvero difficili da gestire per gli esseri umani, ma facilmente individuabili per un computer.

Se si è abituati ad utilizzare solo password complesse e non ci si sente a proprio agio con nessuna altra formulazione, non è obbligatorio cambiare radicalmente le proprie abitudini, sarà sufficiente non cambiare la password a intervalli regolari. Per tutti gli altri tutto è possibile. Se lo si desidera, è possibile utilizzare intere frasi, inclusi spazi vuoti e altri caratteri speciali – in altre parole, è possibile utilizzare una frase d’accesso, sufficientemente lunga per dar filo da torcere ad eventuali criminali ma non troppo, per non dimenticarla. Tenendo quindi per buona la lunghezza minima di 8 caratteri, ci sono infinite possibili variazioni a portata di essere umano.

Per coloro che già si stanno rallegrando e pensano “finalmente, non ci saranno più password incomprensibili, c’è ancora un piccolo intralcio: password come la data del compleanno, “123456”, “abcdef”, “aaaaaaa” o “qwertzuiop” rappresentano ancora una pessima scelta e sono spesso inserite nella blacklist da operatori o amministratori di sistema. La regola di non usare la stessa password per più scopi (ad esempio e-mail, social media e negozi online) è sempre valida. Per ogni servizio bisognerebbe impiegare una password o frase d’accesso differente. Se disponibile, sarebbe opportuno attivare un secondo metodo di autenticazione. Per tenere traccia di tutte le password, un gestore di password rimane comunque uno strumento utile.

Quattro suggerimenti per proteggere il proprio account account

Se una piattaforma ha implementato le nuove raccomandazioni, ci sono alcuni semplici suggerimenti che consentono di aumentare la sicurezza dell’account:

  • Utilizzare una frase d’accesso sufficientemente lunga ad esempio “1StranoGioco – laMossaVincente è NonGiocare!” – noterete che questa ha una lunghezza di 44 caratteri, contiene caratteri speciali ed è facile da ricordare
  • Se disponibile abilitare l’autenticazione a più fattori
  • Non riutilizzare mai una frase d’accesso per più account
  • Utilizzare un password manager
Print Friendly, PDF & Email

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.