Home
Il sonno dei manager genera ingegneria

01 Ottobre 2012

Il sonno dei manager genera ingegneria

di

C'è qualcosa che non va nel rapporto tra account usati su Internet e numero di password impiegate di conseguenza.

I ripetuti e continui esempi di problemi di sicurezza legati alla scarsa robustezza delle password e dei metodi di autenticazione generano periodicamente un gran numero di articoli che illustrano con dovizia di particolari le diverse modalità con cui proteggere i propri account.

L’ultimo caso eclatante è stato quello relativo al giornalista di Wired Mat Honan. Quali che siano le tecniche in gioco è giocoforza parlare di robustezza delle password e quindi di password manager, fino a raccomandare il presunto miglior software per lo scopo, ovvero illustrare le capacità e le funzionalità di diversi programmi del genere.

Un esempio brillante sul tema viene da Digital Trends, che parte da una premessa sbagliata (Honan did not do much “wrong” security-wise) per illustrare con discreta precisione funzionalità e modalità di impiego di diversi raccoglitori di password. Se vi è rimasto qualche dubbio invece su come sia stato possibile usare tecniche di social engineering nella situazione, consiglio la lettura dell’articolo di Endgadget Cosmo, the Hacker ‘God’ Who Fell to Earth. Solo un rapido estratto:

I called Netflix and it was so easy,” he chuckles. “They said, ‘What’s your name?’ and I said, ‘Todd [Redacted],’ gave them his e-mail, and they said, ‘Alright your password is 12345,’ and I was signed in. I saw the last four digits of his credit card. That’s when I filled out the Windows Live password-reset form, which just required the first name and last name of the credit card holder, the last four digits, and the expiration date.

Mi pare difficile capire quali siano effettivamente le ragioni che ostacolano l’adozione di sistemi di autenticazione multifattoriale, salvo rendermi conto di quanto io stesso stenti ad adottarli se non quando ci siano ragioni stringenti se non proprio cogenti per farlo. Brutta bestia la pigrizia! Ci sono anche altri fattori: la stessa persona che non consegnerebbe ad alcuno le chiavi di casa o dell’auto non sente nessuna necessità di protezione delle proprie password, il mazzo di chiavi della propria vita online. Il proliferare degli account ha come unico risultato il riciclo della stessa password ovunque, quale che sia il rischio che questo comporta.

Qualunque persona informata della facilità con cui si possono reperire password ed account online, indebitamente abbandonati alla vista dei passanti, dovrebbe adottare password robuste, diverse per ogni servizio, e quindi non potrebbe fare a meno di un password manager. Mi sono preso la briga (e di certo il gusto) di controllare i numeri dichiarati in termini di download o utenti dai principali password manager. A stento pochi milioni! Eppure i maggiori social network dichiarano centinaia di milioni di utenti.

L’unica spiegazione è che la stragrande maggioranza degli utenti impieghino la stessa password ovunque. Il panorama dei disastri non migliorerà.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.