CyberSec (S01 E06): Le credenziali e la password

L'importanza della protezione delle credenziali

Sin dalle prime azioni degli hacker nordamericani a metà degli anni Ottanta del secolo scorso, il nome utente e la password erano visti, e sono visti tutt’oggi, come il primo, chiaro obiettivo da conquistare per chi voglia entrare in possesso di dati altrui.

Oggi tutti i servizi che si utilizzano – l’accesso al computer o al telefono, l’ingresso nei social network o nella posta personale, l’attivazione del sistema di home banking – prevedono un procedimento che la legge, e anche il mondo tecnico, definisce di “autenticazione”, ossia il sistema “autentica” un nome utente (user id) cui associa una parola chiave (password).

Se nome utente e password coincidono, per il sistema tutto è corretto e lascia così “entrare” l’utente, il quale può iniziare a operare.

La prima considerazione, banale ma non troppo, è che un sistema di autenticazione come quello appena descritto, che si basa solamente su nome utente e password, pone il 99% della sicurezza sul secondo elemento, ossia la password, visto che il primo è di solito conosciuto o, comunque, facilmente conoscibile.

Ciò significa che, come primo step, la password ci deve essere. Deve essere presente e impostata.

Tutti coloro, quindi, che non hanno previsto una barriera di autenticazione sul proprio computer o telefono (perché magari è stata impostata una procedura di login automatico, o perché non è stato impostato il PIN, o perché il sistema operativo è talmente datato che non prevedeva una maschera di autenticazione) stanno violando le più elementari norme di sicurezza, oltre che di legge.

Ogni sistema che si utilizza deve avere, subito all’accensione, una prima barriera di autenticazione, e detta barriera deve domandare, per permettere l’ingresso nel sistema, il nome dell’utente e una password. Questo è il primo, essenziale adempimento di sicurezza.

Una volta impostato il sistema di autenticazione, occorre concentrarsi sulla password, dal momento che, si è detto, tutta la sicurezza grava su questo elemento.

La password per essere sicura deve essere in possesso di quattro requisiti: i) deve essere lunga, ii) deve essere complessa da indovinare, iii) deve essere cambiata di frequente e iv) non deve mai essere annotata su supporti facilmente visibili. Infine, occorrerebbe diversificare le password almeno per i servizi più importanti.

Ma andiamo con ordine, e analizziamo i singoli punti.

Una password lunga significa una password resistente a tentativi automatici di attacco, spesso effettuati con programmi che provano tutte le combinazioni di caratteri esistenti. Più la password sarà lunga, più sarà il tempo necessario per violarla. Una buona lunghezza della password, oggi, è attorno ai sedici caratteri.

Password difficile da indovinare riguarda, invece, il merito della stessa. Una password difficile da indovinare è una password che non solo non si riferisca a elementi riconducibili a noi (nome del cane, del gatto, della squadra del cuore) ma anche che non sia contenuta in un dizionario, che non abbia senso compiuto, che contenga simboli e numeri poco comuni.

Più la password è lontana dal nostro mondo, da un senso compiuto, da una sequenza di caratteri banali, più è sicura.

Il cambiamento frequente della password è il terzo requisito di sicurezza. Serve a garantirci nel caso qualcuno sia entrato in possesso e sia venuto a conoscenza della nostra password.

Purtroppo, infatti, non sempre l’utente può essere in grado di capire se qualcuno, magari molto accorto, stia accedendo ai suoi dati o alla sua posta con la password corretta. Il cambiamento ogni tre mesi, ad esempio, permette di fugare quel dubbio e i relativi pericoli.

La password non dovrebbe mai essere scritta o annotata su foglietti, post-it, quaderni o altri supporti che un soggetto curioso possa vedere. Dovrebbe essere sufficientemente complessa da garantire i livelli di sicurezza di cui si è detto poco sopra, ma sufficientemente facile da ricordare per permetterne un’agevole memorizzazione.

Infine, la password andrebbe diversificata almeno per tre tipi di servizi: i) una password da utilizzare per i servizi meno importanti (iscrizione a mailing list, accesso ai social), ii) una password per i servizi più importanti (posta personale, accesso al computer) e iii) una per i servizi critici (sito di home banking, accesso a dati sanitari, etc).

Avere tre password diverse che, in un certo senso, dividono gli accessi ai nostri dati in compartimenti stagni a seconda della loro importanza, ci tutela molto: nel caso di perdita di una password, non sono influenzati gli altri dati e la loro conoscenza.

Il metodo più utilizzato oggi per carpire le password altrui è il phishing, una tecnica che consiste nell’inviare una e-mail (o un link) a un soggetto confidando nel fatto che il suo livello di attenzione sia debole, o che la sua ingenuità sia alta, e comunichi lui stesso le sue credenziali, magari attraverso le pagine di un sito che sembra in tutto e per tutto uguale a quello del suo provider o della sua banca.

Il segreto per non cadere in trappola è di non rispondere, partendo dalla premessa che nessuno, oggi, ci domanderà mai le nostre credenziali per e-mail, anche se la e-mail apparentemente è corretta e sembra provenire veramente da chi afferma di essere il mittente.

Il concetto di autorizzazione, anch’esso fondamentale, si genera invece nel momento in cui un soggetto si è autenticato regolarmente.

Si tratta di un metodo molto importante per garantire sicurezza e privacy tra gli utenti di uno stesso sistema.

In poche parole, un soggetto, una volta entrato in un sistema, viene autorizzato dall’amministratore a vedere solo le parti di quel sistema, e i dati, che servono per l’espletamento delle sue mansioni.

Non può venire a conoscenza, quindi, di dati del sistema che non lo riguardano perché, ad esempio, sono visibili solo a colleghi con diverse mansioni.

Questa sorta di “privacy orizzontale” diventa fondamentale in luoghi di lavoro con molti soggetti che utilizzano computer o, anche, quando ci sono diversi soggetti che utilizzano uno stesso computer.

Anche in questo caso, come per il firewall, il sistema si basa su regole che vengono stabilite dall’amministratore di sistema. Si pensi all’account di una segretaria che non può vedere, una volta impostati i suoi limiti di autorizzazione, i documenti del titolare dello studio o dell’amministratore delegato.