Il tallone d’Achille della sicurezza delle password? Troppe persone rendono la vita facile ai criminali informatici riutilizzando ripetutamente sempre le stesse.
La soluzione tradizionale è quella di implorare gli utenti di impostare password uniche, preferibilmente utilizzando un gestore. Tuttavia, solo una piccola minoranza vi presta attenzione.
Ma cosa accadrebbe se ci fosse un modo per i siti web di capire se una password (o una password simile) è stata impostata da un utente altrove?
Secondo due ricercatori dell’Università della Carolina del Nord, potrebbe essere possibile utilizzare un framework appositamente progettato per i siti Web per verificare la somiglianza delle password senza compromettere la privacy, la sicurezza e le prestazioni.
Il loro suggerimento è il protocollo ‘private set-membership-test’, basato sull’apparente magia della crittografia omomorfica inventata da IBM una decina di anni fa per elaborare i dati cloud crittografati senza dover prima decrittografarli.
Sembra abbastanza semplice: l’utente dovrebbe selezionare una password in un sito (il richiedente), che verrebbe controllata rispetto alle password selezionate dallo stesso utente su altri siti (i risponditori).
Se la password fosse uguale o simile a quella immessa, all’utente verrebbe chiesto di fare una scelta diversa.
Certo, per essere utile dovrebbe essere usato da molti siti, cosa che potrebbe ridurre le prestazioni. Dovrebbe anche essere un modo affidabile per identificare gli utenti su numerosi siti Web.
Intelligentemente, i ricercatori ignorano il problema delle prestazioni sottolineando che il protocollo dovrebbe essere utilizzato solo da un nucleo di un massimo di 20 grandi provider (Google, Facebook, Yahoo e altri) per eliminare la maggior parte del problema di riutilizzo della password.
Per l’identificazione, ritengono (probabilmente correttamente) che la stragrande maggioranza degli utenti si basano su indirizzi e-mail legati a un singolo dominio all’interno di questo gruppo selezionato.
Per quanto riguarda la sicurezza e la privacy, i principi della crittografia omomorfica si prenderebbero cura di questo, dicono.
Anche se quest’ultima sembra più che altro una supposizione, la descrizione della ricerca va in profondità in merito alle immense sfide di preservare la sicurezza e sul perché questo tipo di crittografia è all’altezza del lavoro.
Gli autori sono almeno realistici su come gli utenti potrebbero reagire:
Non ci facciamo illusioni sul fatto che il nostro progetto, se sarà implementato, verrà accolto con disprezzo (almeno temporaneamente) dai molti utenti che attualmente riutilizzano le password su più siti web.
Man mano che ci si addentra nell’argomento, tuttavia, la cosa sembra un po’ più complicato del previsto: riunire un nucleo di grandi provider per implementare un protocollo di crittografia omomorfico potrebbe richiedere anni.
Il problema potrebbe essere risolto meglio mediante una migliore integrazione dei gestori di password o semplicemente abbandonando la password come mezzo principale di autenticazione?
Se il problema di riutilizzo della password riguarda in realtà un numero elevato di utenti che distribuiscono la stessa password su un numero limitato di siti principali, prima cambieranno l’architettura e meglio sarà.
Ma forse quello che hanno scoperto i ricercatori è davvero un modo geniale non per controllare le password riutilizzate, ma gli stessi attacchi alle credenziali.
Sono stati suggeriti vari schemi per farlo, ma nessuno ha ancora superato la fase di ricerca. L’applicazione potrebbe essere diversa, ma il problema di rilevare la somiglianza dei dati inseriti in luoghi diversi è fondamentalmente la stessa cosa in un’altra veste.
Lascia un commento