skip to main | skip to sidebar
22 commenti

Microsoft dice che le password deboli servono e vanno riusate. Non ha tutti i torti

È una delle regole fondamentali della sicurezza informatica, ripetuta fino alla nausea, che le password debbano essere complesse e che si debba usarne una differente per ciascun sito, allo scopo di rendere difficile agli aggressori il compito di indovinarle e ridurre la propagazione del danno (se riescono a trovarne una, non potranno riusarla sugli altri account dell'utente). Ora un trio di ricercatori della Microsoft mette in discussione questo dogma con un articolo tecnico intitolato Password portfolios and the Finite-Effort User: Sustainably Managing Large Numbers of Accounts.

La loro idea di base è che la nostra capacità di ricordare è limitata, per cui non possiamo tenere a mente tante password complicate: meglio allora andare contro il dogma e usare password semplici per i siti a basso rischio o che non comportano nessun rischio, in modo da riservare per i siti importanti le password sofisticate.

Non hanno tutti i torti: ci sono molti siti che chiedono di creare login e password per avere accesso a dati che se diventassero pubblici non comporterebbero alcun problema. Per esempio, serve davvero una password di sedici caratteri, con obbligo d'includere cifre e simboli di punteggiatura, su un sito che permette di aggiungere didascalie a immagini di gatti? Chi usa uno pseudonimo per creare su Instagram un account nel quale non pubblica foto personali o altri dati identificativi ha davvero bisogno di una password di livello bancario?

La proposta dei ricercatori di Redmond è pragmatica: posto che nonostante tutte le raccomandazioni un inglese su 25 usa la stessa password su tutti i propri account e che in media gli utenti britannici usano in tutto cinque password differenti per proteggere i propri ventisei account, tanto vale adeguarsi alla realtà.

Un altro dogma che viene messo in discussione è il reset periodico delle password, imposto spesso sui luoghi di lavoro: secondo i ricercatori, l'obbligo non rafforza la sicurezza ma la indebolisce, perché spinge gli utenti a scegliere password più facili da ricordare.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (22)
In effetti non hanno tutti i torti, a meno che non si usi uno di quei programmini per gestire i dati d'accesso. In quel caso puoi avere facillmente una password diversa per ogni account e reimpostare quanto vuoi, con password complesse casuali con tutti gli accorgimenti. Certo che se il programmino è sprotetto o gli metti una password principale come 12345, non è proprio il massimo; ma in generale è una cosa utile.
Credo che sia il ragionamento di tutti, o almeno di quelli che hanno un po' di sale in zucca: più ho da perdere meglio lo proteggo.
Se ho una catapecchia dove la cosa più preziosa è la spazzatura la lascio aperta, ma se ho 1 miliardo in diamanti, allora li metto in cassaforte, chiusa in una casa circondata da un campo minato, con recinto spinato ad alto voltaggio, un sistema antimissile e la cotraerea.

Il problema è che molti, sul web, non percepiscono il valore di un account rispetto ad un altro e così rischiano di lasciare i diamanti all'aperto su un asciugamani.
se ho 1 miliardo in diamanti

E se invece avessi un biliardo di diamanti? O un miliardo di amanti? O un maliardo davanti?
diamine.... e io che uso questo approccio da anni e non ho mai pubblicato la tecnica su riviste accademiche? sempre fenomeni 'sti americani.... un giorno pubblicheranno pure il metodo migliore per usare la carta igienica
@Stupidocane
E se invece avessi un biliardo di diamanti?

E se havrei sei spaventilioni, due sesquiliardi e settantotto dollari?
E se havrei sei spaventilioni, due sesquiliardi e settantotto dollari?

Dovresti volare in Sudafrica per vedere chi ha il gomitolo di spago più lungo...

(Questa è per pochi, lo ammetto)
Van Fan, vai di spiegone...
Febbraio 2013
Stupidocane
(Questa è per pochi, lo ammetto)

Hai il cuore di pietra: smettila di tenerci in sospeso.
Di quanto oro hai fame, per rivelare l'arcano?

Mi consolerò con una terrina di lenticchie.
Stupidocane
E se invece avessi un biliardo di diamanti?

Se chiedessi un miliardo al genio sordo, ti cadrebbe dal cielo un biliardo sulla macchina, mentre Silvio, in piedi su una biga d'oro tempestata di gemme, direbbe "credevi che io avessi chiesto al genio la biga più bella del mondo?".
Hai il cuore di pietra: smettila di tenerci in sospeso.
Di quanto oro hai fame, per rivelare l'arcano?

Mi consolerò con una terrina di lenticchie.


Da standing ovation! Complimenti davvero! :)

Bella anche la trasposizione della barzelletta. È stata il leit motiv del mio intervento sul commento di Guastulfo. Ma senza la ia classe, devo ammetterlo. :)
ia = tua
Stupidocane
Da standing ovation!

Troppo buono :-)
Non mi sembrava niente di particolare.

La barzelletta l'ho solo riferita, non l'ho inventata.
Troppo buono :-)
Non mi sembrava niente di particolare.


Tu dici? Non tutti conoscono l'opera barksiana al punto da capire la mia citazione.

La barzelletta l'ho solo riferita, non l'ho inventata.

Giassò, giassò... :)

@Stu e compagni:
come mandare in vacca un interessante spunto di discussione.



No, in realtà è che non ho capito una minchia dei vostri discorsi.
In effetti non hanno tutti i torti, a meno che non si usi uno di quei programmini per gestire i dati d'accesso. In quel caso puoi avere facillmente una password diversa per ogni account e reimpostare quanto vuoi, con password complesse casuali con tutti gli accorgimenti. Certo che se il programmino è sprotetto o gli metti una password principale come 12345, non è proprio il massimo; ma in generale è una cosa utile

Questo sistema, però, ti porta ad una situazione per cui tutte le tue password dipendono da una pwd "principale": se riescono a sgamarti quella, tutte le altre diventano inutili e inefficaci, indipendentemente dalla loro complessità.
E' come se tu chiudessi tutti i cassetti di casa tua con dei lucchetti e poi riponessi tutte le chiavi che li aprono dentro un altro cassetto: al ladro basterebbe aprire quello per poter accedere, senza problemi, a tutti gli altri. Se poi ogni chiave ha un'etichetta che indica quale cassetto apre, il ladro risparmia pure un sacco di tempo, perchè una volta ottenute le chiavi non deve nemmeno andare per tentativi.

Eppure, dal momento in cui un utente di internet si trova costretto ad utilizzare almeno 20-30 password, è logico che si possa trovarei costretto a ricorrere ad un supporto mnemonico per poterle ricordare tutte, limitandosi ad affidare alla propria memoria solo le password più importanti (esattamente come affidiamo alla nostra memoria il pin del bancomat e quello del telefonino).
Il problema è che quel supporto mnemonico (che può essere un fogliettino, così come il login automatico del browser o un file di testo "nascosto" nell'hard disk) diventa l'unica barriera che ci protegge dal furto delle informazioni che contiene.
Nei siti che me lo permettono, uso delle password semplici di 131 caratteri alfanumerici, facili da ricordare, veloci da scrivere.
martinobri
non ho capito una minchia dei vostri discorsi.

Avventure di zio Paperone :-)
Mmmmmh, lenticchie!

Un vero eroe friulano non ne ha mai abbastanza.

"Se non stai sulla retta via, non importa quanti soldi farai, sarai sempre una nullità."
MInchia, chi ti vedo, Puffolotti!!
O_O

Dove diavolo sei stato tutto questo tempo?
@Martinobri
A bastonare l'arbeitsgerichtsamt ufficiale con un asciugamano arrotolato.
LOL per lo spego (anche questa è una citazione anche se non disneyana) e per l'apparizione mistica del leggendario bevitore di africola!