Il falso senso di sicurezza che ci danno gli asterischi

Quanto pensate sia sicura la vostra password? Secondo quanto riportato da Mark Burnett, esperto di sicurezza informatica e autore di alcuni libri sul tema come Perfect Password, il 99,8% delle persone utilizza una parola chiave contenuta nella sua lista delle 10’000 password più comuni.

In base ai dati da lui raccolti, il 4,7% della popolazione utilizza come parola chiave «password», l’8,5% utilizza «password» o «123456», il 9,8% opta per «password», «123456» o «12345678».

Pur non occupandomi direttamente di sicurezza informatica, mi imbatto quotidianamente in persone che mi guardano incuriosite quando comincio a digitare la password per accedere al mio computer e benché questa sia una questione molto importante da considerare e su cui sarebbe necessario fare informazione, non se ne parla tanto quanto si dovrebbe come accade, ad esempio, per la tutela della privacy.

Il problema: password, sicurezza e social network

Partiamo dal presupposto che una password efficace sia costituita da lettere maiuscole e minuscole, numeri e simboli, sia di una lunghezza superiore agli 8 caratteri e non sia una parola comune o una semplice sequenza come qwertyuiop abcdefgh. Ho escluso per principio che la parola che avete scelto per proteggere il vostro computer o i vostri dati sensibili contenga il vostro nome, cognome, soprannome o la vostra data di nascita; in caso contrario cambiatela subito e poi tornate per continuare a leggere. Se siete in dubbio, provate su How secure is my password?

Se queste semplici precauzioni vi fanno dormire sonni tranquilli, forse sarebbe il caso di riflettere ancora un istante sulla reale sicurezza dei vostri dati.

Esempio 1: il recupero della password

Ogni sito offre la possibilità di recuperare la nostra password quando non riusciamo più ad accedere al nostro account: una delle modalità più comuni per procedere al recupero è quella di rispondere a tre domande “personali” che avevamo selezionato al momento dell’iscrizione. Se la persona che vuole rubare i vostri dati è tra gli amici di Facebook, vi segue su Twitter e Instagram (o altre piattaforme), quanto tempo pensate ci metta per recuperare il nome del vostro cane, quello di vostra madre da nubile o della scuola elementare che avete frequentato? Questa tecnica di hacking, chiamata Social Engineering, è una delle più efficaci per ottenere informazioni utili per accedere ai vostri dati. Se volete approfondire l’argomento, consiglio la lettura dei libri di Kevin Mitnick.

Esempio 2: l’effetto domino dei social login

Avete presente quei siti internet che vi permettono di registrarvi utilizzando il vostro account di Facebook, Twitter o Google Plus? Sono indubbiamente una soluzione comoda che ci evita di inserire gli stessi dati centinaia di volte o di restare in attesa di un’e-mail di conferma ma potrebbero renderci la vita molto difficile nel momento in cui dovessero essere compromessi. La stessa cosa si applica, ovviamente, anche all’indirizzo e-mail che utilizziamo per iscriverci ovunque: se quello dovesse essere compromesso tutti gli account ad esso collegati sarebbero automaticamente a rischio.

Esempio 3: a chi affidiamo i nostri dati?

A differenza dei primi due esempi, dove la colpa è da attribuirsi esclusivamente all’utente finale, quest’ultimo si basa su una semplice domanda: chi ci assicura che le persone o i servizi a cui stiamo affidando i nostri dati seguano effettivamente delle procedure di sicurezza ad hoc? Nell’ultimo anno sui quotidiani sono comprarsi diversi articoli il cui titolo recitava qualcosa tipo “Rubate migliaia di password dal sito X“, “Rubati centinaia di numeri di carte di credito“.

Soluzioni

Come anticipato, una password lunga e complessa potrebbe essere una possibile soluzione ma dovete essere sicuri di avere una buona memoria e di possedere una certa calma quando, dopo aver perso un numero indefinito di secondi per digitare la password sulla tastiera minuscola del vostro smartphone, non vi sarà garantito l’accesso per un banale errore di digitazione.

Le soluzioni alternative ed efficaci ci sono: Apple, ad esempio, sta muovendo i primi passi in questo senso attraverso l’implementazione di chiavi di accesso non più legate a password alfanumeriche ma al riconoscimento di caratteristiche biometriche come, ad esempio, impronte digitali (quello che loro chiamano Touch ID).

Un’altra soluzione più semplice e alla portata di tutti è l’attivazione della cosiddetta 2-Step Verification: imitando il sistema di login adottato dalle banche, per accedere al nostro account saranno necessari la password e un numero identificativo associato a un dispositivo (normalmente uno smartphone) generato automaticamente a intervalli di tempo programmati. Se avete un account Google, potete leggere come attivarlo e utilizzarlo a questo indirizzo.

Password Assistant OSX Mavericks

L’ultima possibilità è quella di installare sul nostro computer e sui nostri dispositivi mobili applicazioni come 1Password (o, per utenti Mac, utilizzare l’applicazione preinstallata Accesso Portachiavi) dove salvare tutti i dati di accesso dei vostri account che saranno protetti da un’unica password.

Approfondimenti

Se sono riuscito a stuzzicare la vostra curiosità, vi consiglio di leggere How i Lost my $50.000 Twitter Username di Naoki Hiroshima (sviluppatore di app tra cui Echofon) e How Apple and Amazon Security Flaws Led to My Epic Hacking di Mat Honan (giornalista di Wired USA)