Cerca nel blog

2014/07/18

Microsoft dice che le password deboli servono e vanno riusate. Non ha tutti i torti

È una delle regole fondamentali della sicurezza informatica, ripetuta fino alla nausea, che le password debbano essere complesse e che si debba usarne una differente per ciascun sito, allo scopo di rendere difficile agli aggressori il compito di indovinarle e ridurre la propagazione del danno (se riescono a trovarne una, non potranno riusarla sugli altri account dell'utente). Ora un trio di ricercatori della Microsoft mette in discussione questo dogma con un articolo tecnico intitolato Password portfolios and the Finite-Effort User: Sustainably Managing Large Numbers of Accounts.

La loro idea di base è che la nostra capacità di ricordare è limitata, per cui non possiamo tenere a mente tante password complicate: meglio allora andare contro il dogma e usare password semplici per i siti a basso rischio o che non comportano nessun rischio, in modo da riservare per i siti importanti le password sofisticate.

Non hanno tutti i torti: ci sono molti siti che chiedono di creare login e password per avere accesso a dati che se diventassero pubblici non comporterebbero alcun problema. Per esempio, serve davvero una password di sedici caratteri, con obbligo d'includere cifre e simboli di punteggiatura, su un sito che permette di aggiungere didascalie a immagini di gatti? Chi usa uno pseudonimo per creare su Instagram un account nel quale non pubblica foto personali o altri dati identificativi ha davvero bisogno di una password di livello bancario?

La proposta dei ricercatori di Redmond è pragmatica: posto che nonostante tutte le raccomandazioni un inglese su 25 usa la stessa password su tutti i propri account e che in media gli utenti britannici usano in tutto cinque password differenti per proteggere i propri ventisei account, tanto vale adeguarsi alla realtà.

Un altro dogma che viene messo in discussione è il reset periodico delle password, imposto spesso sui luoghi di lavoro: secondo i ricercatori, l'obbligo non rafforza la sicurezza ma la indebolisce, perché spinge gli utenti a scegliere password più facili da ricordare.

22 commenti:

Flora May ha detto...

In effetti non hanno tutti i torti, a meno che non si usi uno di quei programmini per gestire i dati d'accesso. In quel caso puoi avere facillmente una password diversa per ogni account e reimpostare quanto vuoi, con password complesse casuali con tutti gli accorgimenti. Certo che se il programmino è sprotetto o gli metti una password principale come 12345, non è proprio il massimo; ma in generale è una cosa utile.

Guastulfo (Giuseppe) ha detto...

Credo che sia il ragionamento di tutti, o almeno di quelli che hanno un po' di sale in zucca: più ho da perdere meglio lo proteggo.
Se ho una catapecchia dove la cosa più preziosa è la spazzatura la lascio aperta, ma se ho 1 miliardo in diamanti, allora li metto in cassaforte, chiusa in una casa circondata da un campo minato, con recinto spinato ad alto voltaggio, un sistema antimissile e la cotraerea.

Il problema è che molti, sul web, non percepiscono il valore di un account rispetto ad un altro e così rischiano di lasciare i diamanti all'aperto su un asciugamani.

Stupidocane ha detto...

se ho 1 miliardo in diamanti

E se invece avessi un biliardo di diamanti? O un miliardo di amanti? O un maliardo davanti?

Paolo Agati ha detto...

diamine.... e io che uso questo approccio da anni e non ho mai pubblicato la tecnica su riviste accademiche? sempre fenomeni 'sti americani.... un giorno pubblicheranno pure il metodo migliore per usare la carta igienica

Guastulfo (Giuseppe) ha detto...

@Stupidocane
E se invece avessi un biliardo di diamanti?

E se havrei sei spaventilioni, due sesquiliardi e settantotto dollari?

Stupidocane ha detto...

E se havrei sei spaventilioni, due sesquiliardi e settantotto dollari?

Dovresti volare in Sudafrica per vedere chi ha il gomitolo di spago più lungo...

(Questa è per pochi, lo ammetto)

Stupidocane ha detto...

Van Fan, vai di spiegone...

granmarfone ha detto...

Febbraio 2013

Faber ha detto...

Stupidocane
(Questa è per pochi, lo ammetto)

Hai il cuore di pietra: smettila di tenerci in sospeso.
Di quanto oro hai fame, per rivelare l'arcano?

Mi consolerò con una terrina di lenticchie.

Faber ha detto...

Stupidocane
E se invece avessi un biliardo di diamanti?

Se chiedessi un miliardo al genio sordo, ti cadrebbe dal cielo un biliardo sulla macchina, mentre Silvio, in piedi su una biga d'oro tempestata di gemme, direbbe "credevi che io avessi chiesto al genio la biga più bella del mondo?".

Stupidocane ha detto...

Hai il cuore di pietra: smettila di tenerci in sospeso.
Di quanto oro hai fame, per rivelare l'arcano?

Mi consolerò con una terrina di lenticchie.


Da standing ovation! Complimenti davvero! :)

Bella anche la trasposizione della barzelletta. È stata il leit motiv del mio intervento sul commento di Guastulfo. Ma senza la ia classe, devo ammetterlo. :)

Stupidocane ha detto...

ia = tua

Faber ha detto...

Stupidocane
Da standing ovation!

Troppo buono :-)
Non mi sembrava niente di particolare.

La barzelletta l'ho solo riferita, non l'ho inventata.

Stupidocane ha detto...

Troppo buono :-)
Non mi sembrava niente di particolare.


Tu dici? Non tutti conoscono l'opera barksiana al punto da capire la mia citazione.

La barzelletta l'ho solo riferita, non l'ho inventata.

Giassò, giassò... :)

martinobri ha detto...

@Stu e compagni:
come mandare in vacca un interessante spunto di discussione.



No, in realtà è che non ho capito una minchia dei vostri discorsi.

Replicante Cattivo ha detto...

In effetti non hanno tutti i torti, a meno che non si usi uno di quei programmini per gestire i dati d'accesso. In quel caso puoi avere facillmente una password diversa per ogni account e reimpostare quanto vuoi, con password complesse casuali con tutti gli accorgimenti. Certo che se il programmino è sprotetto o gli metti una password principale come 12345, non è proprio il massimo; ma in generale è una cosa utile

Questo sistema, però, ti porta ad una situazione per cui tutte le tue password dipendono da una pwd "principale": se riescono a sgamarti quella, tutte le altre diventano inutili e inefficaci, indipendentemente dalla loro complessità.
E' come se tu chiudessi tutti i cassetti di casa tua con dei lucchetti e poi riponessi tutte le chiavi che li aprono dentro un altro cassetto: al ladro basterebbe aprire quello per poter accedere, senza problemi, a tutti gli altri. Se poi ogni chiave ha un'etichetta che indica quale cassetto apre, il ladro risparmia pure un sacco di tempo, perchè una volta ottenute le chiavi non deve nemmeno andare per tentativi.

Eppure, dal momento in cui un utente di internet si trova costretto ad utilizzare almeno 20-30 password, è logico che si possa trovarei costretto a ricorrere ad un supporto mnemonico per poterle ricordare tutte, limitandosi ad affidare alla propria memoria solo le password più importanti (esattamente come affidiamo alla nostra memoria il pin del bancomat e quello del telefonino).
Il problema è che quel supporto mnemonico (che può essere un fogliettino, così come il login automatico del browser o un file di testo "nascosto" nell'hard disk) diventa l'unica barriera che ci protegge dal furto delle informazioni che contiene.

Faber ha detto...

Nei siti che me lo permettono, uso delle password semplici di 131 caratteri alfanumerici, facili da ricordare, veloci da scrivere.

Faber ha detto...

martinobri
non ho capito una minchia dei vostri discorsi.

Avventure di zio Paperone :-)

puffolottiaccident ha detto...

Mmmmmh, lenticchie!

Un vero eroe friulano non ne ha mai abbastanza.

"Se non stai sulla retta via, non importa quanti soldi farai, sarai sempre una nullità."

martinobri ha detto...

MInchia, chi ti vedo, Puffolotti!!
O_O

Dove diavolo sei stato tutto questo tempo?

puffolottiaccident ha detto...

@Martinobri
A bastonare l'arbeitsgerichtsamt ufficiale con un asciugamano arrotolato.

Van Fanel ha detto...

LOL per lo spego (anche questa è una citazione anche se non disneyana) e per l'apparizione mistica del leggendario bevitore di africola!