Cerca nel blog

2014/07/18

Microsoft dice che le password deboli servono e vanno riusate. Non ha tutti i torti

È una delle regole fondamentali della sicurezza informatica, ripetuta fino alla nausea, che le password debbano essere complesse e che si debba usarne una differente per ciascun sito, allo scopo di rendere difficile agli aggressori il compito di indovinarle e ridurre la propagazione del danno (se riescono a trovarne una, non potranno riusarla sugli altri account dell'utente). Ora un trio di ricercatori della Microsoft mette in discussione questo dogma con un articolo tecnico intitolato Password portfolios and the Finite-Effort User: Sustainably Managing Large Numbers of Accounts.

La loro idea di base è che la nostra capacità di ricordare è limitata, per cui non possiamo tenere a mente tante password complicate: meglio allora andare contro il dogma e usare password semplici per i siti a basso rischio o che non comportano nessun rischio, in modo da riservare per i siti importanti le password sofisticate.

Non hanno tutti i torti: ci sono molti siti che chiedono di creare login e password per avere accesso a dati che se diventassero pubblici non comporterebbero alcun problema. Per esempio, serve davvero una password di sedici caratteri, con obbligo d'includere cifre e simboli di punteggiatura, su un sito che permette di aggiungere didascalie a immagini di gatti? Chi usa uno pseudonimo per creare su Instagram un account nel quale non pubblica foto personali o altri dati identificativi ha davvero bisogno di una password di livello bancario?

La proposta dei ricercatori di Redmond è pragmatica: posto che nonostante tutte le raccomandazioni un inglese su 25 usa la stessa password su tutti i propri account e che in media gli utenti britannici usano in tutto cinque password differenti per proteggere i propri ventisei account, tanto vale adeguarsi alla realtà.

Un altro dogma che viene messo in discussione è il reset periodico delle password, imposto spesso sui luoghi di lavoro: secondo i ricercatori, l'obbligo non rafforza la sicurezza ma la indebolisce, perché spinge gli utenti a scegliere password più facili da ricordare.

Nessun commento: