Oh, questi incorreggibili che utilizzano male le password! Dopo tutti questi anni di vergogna (ammesso che importasse loro e che facessero attenzione), ancora c’è gente che usa come password “123456”. In base all’elenco annuale delle peggiori password di SplashData, questo vecchio classico è sempre al primo posto.
Ancora.
Al secondo ecco che sbuca il solito “password”, trito e ritrito.
Ancora.
Anche “Donald” ce l’ha di nuovo fatta a entrare in classifica, stavolta al numero 23, forse più come debole accenno al presidente degli Stati Uniti, che con l’acronimo POTUS (President Of The United States) si piazza al numero 45, che a Paperino (Donald Duck). O forse a entrambi.
Diciamo sempre così: che vergogna! Sguinzagliate le arpie della sicurezza informatica, fate volare le scimmie alate e così via, bla, bla, bla… Il settore della sicurezza e i mezzi d’informazione che si occupano dell’argomento continuano a cercare di far passare il messaggio che le password semplici come queste sono troppo facili da indovinare: gli attacchi di forza bruta (in inglese brute force) si verificano nel giro di frazioni di microsecondi. E quindi, ogni anno, pedissequamente, viene consigliato di rivedere le politiche di composizione delle password.
Questi criteri consistono in una serie di regole quali “la password dev’essere di almeno otto caratteri e contenere almeno una lettera maiuscola, un numero e un carattere speciale”. Si tratta di convenzioni molto diffuse perché sono facili da controllare e aumentano l’entropia delle password (il che può essere importante, ma non implica necessariamente la sicurezza).
Ebbene, anche questo trucchetto sta diventando obsoleto. Come si è detto in precedenza, le regole di composizione sono fastidiose (per tutti, anche per chi sceglie password davvero sicure); misurano qualcosa che non è la sicurezza delle password e restringono il campo delle possibili combinazioni (lo “spazio delle password”) e questo non fa altro che facilitare le cose a chi le vuole violare.
Per andare più diretti al punto, sebbene sia vero quanto dice il CEO di SplashData, Morgan Slain, che “utilizzare il proprio nome o un nome comune come password è pericoloso”, accanirsi sull’utente non è chiaramente la soluzione. Se lo fosse, non vedremmo ricomparire ogni anno sempre le stesse password.
Per creare l’elenco di quest’anno, SplashData afferma di avere preso in considerazione più di cinque milioni di password trapelate. Non è sorprendente però che l’enorme cache contenesse molti nomi di personaggi famosi, termini ripresi dalla cultura pop e dagli sport, e semplici password posizionali, basate sulla disposizione dei tasti sulla tastiera, perché sono facili da ricordare. È ovvio che le persone le usino…
… dato che i siti web e i servizi consentono loro di farlo.
E se i siti la smettessero di accettare 123456?
Questa sì che è un’idea, anche se non va a beneficio del tunnel carpale perché bisogna muovere le dita. Il concetto è che i siti web e i servizi semplicemente impediscano agli utenti di scegliere una password presente nell’elenco delle peggiori, ovvero disincentivino l’uso delle 10.000 password meno sicure.
L’elenco delle peggiori password esiste grazie a tutti quei siti e servizi che accettano password non sicure. Rifiutandole di certo non si contribuirà mai alla creazione di un simile elenco.
Se quei siti web/servizi avessero utilizzato zxcvbn, un sistema di valutazione della sicurezza delle password varato da Dropbox, utilizzato anche da WordPress e disponibile gratuitamente a tutti, gli utenti sarebbero stati avvertiti qualora avessero scelto una di quelle password deprecabili.
E poi, se un sito web/servizio rende obbligatoria l’autenticazione a due fattori (2FA), gli utenti sono ben protetti anche se dovessero malauguratamente scegliere una di quelle password.
Se un sito web/servizio utilizza il controllo del traffico, anche le password meno sicure acquisiscono maggior forza. Limitare il numero di tentativi di inserimento di una password errata significa prolungare i tempi di un attacco. I malintenzionati devono stare più attenti a non provare troppe volte: l’FBI può testimoniare quanto sia scomodo, se non impossibile, ottenere l’accesso senza conoscere le credenziali.
Nulla di quanto sopra però lascia intendere che gli utenti siano dispensati dalla scelta di una password sicura. Non hanno modo di sapere se le loro password archiviate sono ben protette e non hanno alcun controllo sulle misure implementate dal sito per scongiurare i tentativi di indovinarle online, lasciando stare la tecnologia 2FA, ammesso che sia disponibile.
Vale a dire che continua a incombere sugli utenti il compito di assicurarsi che ogni password sia univoca e sufficientemente sicura da resistere ai tentativi da parte di malintenzionati di indovinarla online. E ciò significa che i siti web devono senz’altro favorire una regola di composizione: richiedere password costituite da una serie casuale di almeno 14 caratteri, fra lettere, numeri e caratteri speciali.
E gli utenti, che ovviamente non se le ricorderanno tutte, per essere sicuri, potranno affidarsi a un sistema di gestione delle password.
*Tratto dall’articolo Worst passwords list is out, but this time we’re not scolding users sul blog Sophos Naked Security