C’è il rischio che le regole per la scelta della password per l’uso dello Spid, il sistema pubblico di identità digitale, siano inutilmente laboriose ed espongano il sistema a possibili infiltrazioni, perché le routine introdotte tendono a ridurre l’attenzione degli utenti. Il tema lo ha lanciato l’utente Tom6 del Forum Italia, l’agorà dell’Agenzia per l’Italia digitale.
Tom6 scrive che il sistema di accreditamento impone agli utenti il cambio della parola d’ordine periodico: aprendo la strada a tentativi di phishing con finte richieste di rinnovo. Il cambio continuo incentiva gli utenti ad utilizzare password sequenziali per semplificarsi la vita ma queste sono più facilmente violabili dai malintenzionati. In caso di password compromesse, poi, il sistema Spid diventa macchinoso perché obbliga a bloccare gli account e fare un reset. In definitiva conclude Tom6 è frustrante soprattutto perché inutile e costoso da gestire in termini di supporto tecnico e software. Così, il blogger suggerisce di guadrare alle esperienze più avanzate.
NIST sp800-63b non è una password ultrasicura suggerita dal blogger, ma una direttiva dell’Istituto nazionale per la standardizzazione e la tecnologia, statunitense, in cui si dettano le buone regole per la gestione di accessi, per utenti e gestori di siti. Perché rileva l’agenzia “a dispetto di una diffusa frustrazione nell’uso delle password, sia sotto il profilo della maneggevolezza che della sicurezza rimangono la forma di accreditamento maggiormente diffusa” e quindi nella scelta bisogna prestarci attenzione.
Studiando successi e insuccessi dei tentativi di hackeraggio il Nist ha scoperto che “molti attacchi associati all’uso delle password non sono influenzati dalla complessità e dalla lunghezza delle password”. La registrazione dei tasti, fatta dall’hacker che si è introdotto nel computer, il phishing, il social engineering, il tentativo massivo di sottrarre credenziali agli utenti, sono ugualmente efficaci su password lunghe e complesse come quelle semplici”. Semmai pesano più le disattenzioni degli utenti che scelgono password ripetute e “molto prevedibili cosicché gli aggressori indovinano le password usando quelle che hanno già funzionato in passato. Questi includono parole del dizionario, password utilizzate con successo in altri tentativi di violazioni”. Ma non è solo colpa degli utenti inesperti o grossolani.
Anche i siti che complicano la scelta degli utenti imponendo requisiti di lunghezza e complessità delle password, spiega il Nist, non riducono i rischi. Anzi. Poiché le password forti aumentano significativamente la difficoltà per l’utente di tenerle a mente contribuiscono ad aumentarne la frustrazione così che “finiscono per conservarle in modo non accurato” o di puntare sulle opzioni più semplici: come in questo esempio che sarà familiare a molti: “Le ricerche hanno dimostrato che se un utente sceglie password, come parola d’ordine, molto probabilmente digiterà Password1 se gli verrà richiesta anche una maiuscola e un numero e, Password1!, se deve comprendere anche un simbolo”. Nella tastiera il punto esclamativo è sopra il numero 1. Neanche la più piccola deviazione o inventiva.
Di conseguenza, spiegano gli esperti dell’Agenzia governativa “gli utenti spesso aggirano queste restrizioni aprendo falle nel sistema” o ricorrono scelte di aggiornamento facilmente identificabili”. Così il Nist invita a lasciare libertà di lunghezza e complessità ai clienti e a introdurre altre accortezze per contrastare il lavoro degli hacker. L’uso di blacklist di password già violate il cui uso deve essere impedito dal gestore del sito o dal software di navigazione e segnalato all’utente al momento della scelta. L’archiviazione delle password in forma crittografata. L’accesso condizionato da una doppia verifica, attraverso password e pin numerici aleatori, creati al momento dell’acceso.
Ma soprattutto il blocco dell’account dopo un certo numero di tentativi con credenziale sbagliate. È una delle pratiche più efficaci “nel prevenire i moderni attacchi di forza bruta”, come vengono chiamati gli assalti più rozzi scatenati dai pirati informatici. Battaglioni di computer che all’unisono concentrano le loro attività su pochi siti o utenti. II Nist ricorda che i malviventi digitali spesso associano a elevate competenze tecniche calcolatori molto potenti che possono testare le parole contenute in interi dizionari, come forma di password, in un secondo. Ma bloccando l’ingresso dopo un certo numero di chiavi sbagliate si raggiunge una certa sicurezza. Non ci si protegge se i pirati abbiano in mano liste di credenziali, nome e password, ottenute illegalmente, ma in tutti gli altri casi si.
