Pagina 90 - officeautomation-ottobre 2012

88

ottobre 2012

Negli attuali sistemi informatici e per gli accessi ai

siti web, le password sono un elemento preponde-

rante per l’identificazione ed autenticazione di un

utente. Un mondo sempre più digitale ci costringe

a usare, e quindi a gestire, innumerevoli password:

centinaia e centinaia di identificativi d’utente (u-

id) e di password (pwd) che dobbiamo governare

e gestire.

Tra i principali problemi che l’utente deve cono-

scere e saper gestire, per proteggere la sua iden-

tità digitale, spiccano la scelta delle u-id e pwd più

sicure, e la gestione sicura ed efficace di tutti gli

u-id e pwd in uso.

Gli u-id sono alcune volte imposti dai siti stessi, si

pensi ad esempio all’home banking dove normal-

mente l’u-id è un codice cliente fornito dalla banca,

oppure, come nel caso dei social network, sono la-

sciati all’utente che spesso usa il proprio indirizzo

di posta elettronica, o semplici combinazioni del

suo nome e cognome, e così via. E, come è ‘fisio-

logico’, lo stesso u-id viene ripetuto, se possibile,

per i diversi siti web, almeno a parità di criticità:

conoscendo l’identità della persona, individuare il

suo u-id è così molto facile.

Per quanto riguarda le pwd, i criteri di scelta, a parte

alcune imposizioni e regole, tipicamente in ambito

bancario e finanziario, sono simili a quelli dell’u-id,

e il più delle volte si basano su facili combinazioni

di dati personali, del proprio lavoro, della propria

famiglia e della cerchia di conoscenze e amicizie,

di località conosciute (visitate di recente), di frasi

famose o spiritose, e così via. Tutte informazioni che

troppo spesso sono fornite direttamente dall’utente

sui social network.

Attenzione ai criteri di scelta

La regola di base per la creazione di una pwd, così

come di un u-id, è che deve essere facile da ricor-

dare per il suo proprietario, ma difficile da scoprire.

È evidente che la criticità di un u-id e relativa pwd è

ben diversa per l’accesso all’home banking rispetto

all’accesso ad un social network: ma si deve ben

tener in conto che gli attaccanti tendono ad indi-

viduare u-id e pwd dai sistemi a bassa sicurezza,

che non si considerano critici.

Conoscendo, o immaginando l’u-id, esistono innu-

merevole strumenti software, anche gratuitamente

scaricabili da Internet, che tentano tutte le com-

binazioni di un insieme di caratteri fino a trovare

la pwd corretta: è il così detto attacco “bruto” (in

inglese brut force o deep-crack).

I tipici attacchi per scoprire le pwd includono (ma

non si limitano), oltre al già citato “brute-force”, il

“phishing” con la posta elettronica, il “keylogging”

con la trasmissione in remoto dei caratteri digitati

dalla tastiera, l’accesso fraudolento ai file/banche

Il tormentone

delle password

e della loro gestione

Quanto lunghe?

Quanto complesse?

Quanto realmente sicure?

Marco Bozzetti, OAI founder