Password insicure per legge?

Ormai tutta la nostra vita reale ha un proprio alter-ego digitale. Il nostro conto corrente, le carte di credito, il fisco e un’infinità di altre sono gestite tramite internet e queste entità intangibili interagiscono con la vita reale, è evidente come un bonifico “digitale” muova soldi reali, un acquisto online venga realmente recapitato a che i dati che gestiamo online hanno lo stesso valore della carta.

Do you remember your password?

Do you remember your password? Credit: https://www.flickr.com/photos/planeta/

Proviamo ad immaginare cosa potrebbe succedere se qualcuno si impossessasse delle nostre credenziali, tutta la nostra vita privata finirebbe nelle sue mani, i ricordi, anche quelli più intimi, i dialoghi con i nostri parenti e amici, le comunicazioni personali e quelle di lavoro, informazioni etiche, le posizioni politiche.

Come se non bastasse, ciascuno di noi possiede, chi più chi meno, anche dati di terze persone. In caso di violazione di una casella email a causa di una password debole comprometterebbe la sicurezza delle conversazioni di tutti gli interlocutori, non solo del titolare della casella. Anche se la maggior parte degli interlocutori fossero molto attenti alla sicurezza, basta la violazione della casella con password debole per compromettere la privacy di tutti.

Una password insicura rischia di mettere a repentaglio la nostra privacy e quella degli altri, soprattutto quando si ha a che fare con utenze “aziendali” che necessariamente catalogano, archiviano ed utilizzano informazioni personali dei clienti, dei fornitori ed in genere di chi interagisce con l’azienda.

Ciononostante continuano a scegliere password banali, facilmente deducibili anche da chi ci conosce solo in minima parte.
Ovviamente la questione è stata affrontata anche dal legislatore che ha ritenuto indispensabile porre degli obblighi per alcuni soggetti.
Già con la prima legge sulla privacy (675/96) e con successiva e attuale (196/03) ci sono degli obblighi in materia di password qualora vengano gestiti dati personali.
La legge impone due vincoli che la password deve rispettare:
  1. Essere lunga almeno otto caratteri, contenere almeno una lettera maiuscola, almeno una minuscola e almeno un numero. Immagino che l’intenzione del garante privacy fosse quella di vietare l’utilizzo di password banali come 1234 o il proprio nome.
  2. Cambiare periodicamente la password, ogni sei mesi in caso di trattamento di dati personali,  ogni tre mesi in caso di trattamento di dati sensibili. Anche in questo caso l’intento del garante è molto semplice, più tempo “vive” una password e più probabilità ci sono che cada nelle mani di qualcun’altro.
È praticamente impensabile che i nostri account non contengano informazioni personali se non addirittura sensibili, magari di terzi, quindi tutti le password che usiamo devono sottostare ai due vincoli. Credo (ma non ne sono sicurissimo) che gli obblighi della legge privacy siano applicabili solo all’interno del posto di lavoro, ma anche se così fosse gli strumenti che usiamo a lavoro sono gli stessi (Windows, email, etc etc) che usiamo a casa, quindi anche se per i privati non fosse obbligatorio sottostare a questa legge, de facto, siamo soggetti agli stessi obblighi sia a casa che al lavoro, perché tali strumenti devono essere progettati per rispettare questi obblighi.
ma allora, perché molti utenti continuano a scegliere password deboli? Sono tutti degli sprovveduti?
Nel corso della mia attività lavorativa ho constatato spesso quali siano le pratiche comuni per gli utenti di sistemi informativi, e per capirle dobbiamo tenere in considerazione sia l’aspetto della sicurezza che quello dell’usabilità. Quanto una buona pratica “sulla carta” si trasforma in “un impiccio” nel quotidiano ci sono molte probabilità che non venga ottemperata o peggio si cerchi di aggirarla. Prendiamo come esempio la password dello screen saver: il fatto che dopo qualche minuto di inattività il computer sia protetto da accessi non autorizzati da parte di persone che fisicamente possono accedere al dispositivo è una cosa molto importante. Un utente virtuoso utilizza una password complessa, molto lunga, fatta di sequenze di numeri e lettere. Il blocco dello schermo significa digitare parecchie volte al giorno la password, magari quando ci si trova al telefono con qualcuno con solo una mano libera o, peggio, ci si trova in posizione “contorta” con la testa piegata e il telefono stretto tra orecchio e spalla.
La fretta di “entrare” nel pc e la posizione scomoda, aumentano di molto la probabilità di commettere errori di digitazione, costringendo l’utente a ripetere più volte l’operazione. Il perpetrarsi di questa situazione può “suggerire” all’utente di “ammorbidire” la sua posizione semplificando la password o (peggio) rimuovendo la password dello screen saver.
Non è tutto, la password va cambiata ogni tre mesi, dopo qualche settimana (in genere 3-4) che si usa una password si prende “l’abitudine” ad usarla, appena dopo due mesi va cambiata di nuovo, per tre o quattro settimane dopo il cambiamento l’utente continuerà a digitare la password vecchia, ricevendo un errore. Questo spinge l’utente, ormai infastidito, ad utilizzare una password semplice, genericamente una parola seguita da un numero e ogni tre mesi il numero viene aumentato di uno.
La norma prevede che la password sia lunga almeno otto caratteri: la “ratio legis”  è di per se giusta, una password lunga è più sicura, ma non necessariamente una password di otto caratteri è migliore di una di cinque, “Girasole1” è forse più sicura di “aU/5k”?
Come accennato in precedenza le password devono essere ricordate, ma devono essere anche lunghe e devono cambiare spesso. La password “foo9ha?Ko!2thi^+*s1Ing8Y” sarebbe certamente molto sicura, ma difficile da ricordare, ma ammettiamo che con la giusta dose di impegno si riesca a memorizzare, se dopo soli 3 mesi la devo cambiare? In questi termini sembra inevitabile che la password venga scritta nel classico post-it giallo appeso al monitor o, al massimo, sotto la tastiera.
Analizzando la questione in termini pratici sembra (sembra?) che la legge che ci dovrebbe obbligare all’utilizzo di password robuste contribuisca “de facto” a farci scegliere delle password banali.
Ci sono alcuni trucchi per generare delle password robuste e conforme alla legge, ma li vedremo in uno dei prossimi post.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.