Ovunque ci sia un’informazione da proteggere, lì ci sarà il bisogno di utilizzare le password (quasi più nessuno le chiama “parole chiave”).
Sono in circolazione dalla notte dei tempi (già gli Egizi le utilizzavano). Da quando si vive di servizi online, però, in combinazione con un nome utente (User Id), oltre a proteggere le informazioni, le password permettono di riconoscere le persone e profilarle.
Proteggere, riconoscere, profilare
Proteggere e riconoscere sono le due funzionalità cardine per cui oggi alla scelta delle password sarebbe giusto dedicare un’attenzione maggiore, che spesso manca. Basta documentare l’affermazione con i dati del National Cyber Security Centre (UK) che ha analizzato le password di account vittime degli hacker a livello mondiale.
Ancora oggi “123456” viene utilizzata da 23,2 milioni di account. Sono 7,7 milioni gli utenti che ritenendosi un po’ più furbi hanno scelto di arrivare fino al “9”. “Password” è utilizzata ancora su 3 milioni di account, ma anche “qwerty” e “abc123” rientrano nella top ten delle password più utilizzate.
L’utilizzo di sistemi deboli o non sufficienti a garantire l’identità dell’utente remoto può esporre il target a numerosi rischi. Il sistema di autenticazione più diffuso è la password. La combinazione tra identificativo e password autentica l’utente al sistema, ma si capisce bene come nel tempo questa autenticazione sia da considerare debole. Anche perché dietro user id e password ci sono dati importanti che permettono la profilazione delle persone (dati che valgono moneta sonante) e spesso dati sensibili.
Nel tempo chi offre i servizi ha pensato di imporre agli utenti delle regole per generarle, una policy per cambiarle di frequente, e almeno da tre anni è attiva una serie di servizi che richiedono l’utilizzo di autenticazione multifattoriale.
In una prima fase l’utente si qualifica con un nome utente ed una password, il sistema attiva un controllo secondario per accertare che chi ha inserito quei dati sia effettivamente il titolare del servizio.
Lo fa richiedendo una seconda autenticazione su un altro asset (per esempio lo smartphone), magari sfruttando un parametro biometrico ritenuto affidabile (l’impronta digitale) e poi richiedendo l’inserimento nella pagina Web di autenticazione di codici casuali appena visualizzati sul device.
La prima è la fase in cui l’utente dichiara la propria identità al sistema, mentre la seconda si riferisce alla tecnica con cui tale identità viene verificata. La sicurezza dell’asset a cui l’utente accede dipende fortemente dalla tecnica utilizzata per autenticarlo. Sistema inviolabile? Non proprio, per esempio è aggirabile con le email di phishing.
Il 2 di maggio si festeggia il World Password Day che vuole ricordare l’importanza delle password, delle chiavi crittografiche, e il ruolo che hanno assunto oggi per darci libero ma “sicuro(?)” accesso a un’infinità di servizi.
Nell’era digitale proteggere le informazioni è un dovere di tutti, per questo la fatica di dover scegliere lettere (maiuscole e minuscole), numeri, simboli, lo sforzo di non affidarsi a parole comuni e a nomi propri, la disponibilità a cambiare spesso le password, e a sceglierne una diversa per ogni servizio utilizzato, dovrebbero rappresentare abitudini consolidate. Purtroppo non è così, nonostante siano oramai moltissimi le app e i software disponibili, anche gratuitamente, per fare del proprio meglio in questo ambito.
Ricordare una buona password complessa, tutti devono ammetterlo, non è così difficile. Per esempio, scelta una frase anche senza senso, che sappiamo poter ricordare bene, una buona parola chiave è quella generata a partire dalle lettere iniziali di ogni parola che la compongono. Le frasi da ricordare nel tempo si moltiplicheranno, ma a ricordare tutto aiuteranno le app.
Le migliori oggi sono in grado di suggerire anche il momento di cambiare la password, una password nuova, i criteri di composizione della stessa (più o meno complessa), salvando in cloud le nostre informazioni, sotto una masterpass principale a sua volta protetta da un fattore biometrico. A nostro avviso le tre migliori e più complete sono oggi LastPass, KeePass e Dashlane.
E’ vero: i “fortini” sono facilmente identificabili anche dagli attaccanti e concentrare tutte le proprie password in un unico repository, di per sé potrebbe non rappresentare la strategia perfetta, eppure è sempre una scelta migliore rispetto a quella di chi preferisce utilizzare una decina di password per centinaia di servizi.
Un’indagine di Nuance Communications rivela che ogni consumatore gestisce in media quasi una dozzina di account online (la media però tiene conto anche della popolazione inattiva su Internet), una persona su quattro dimentica le password almeno una volta al mese, e quasi un terzo contatta i servizi clienti per reimpostare le credenziali. In questo contesto per tutti la biometria è un fattore “tranquillizzante”.
La utilizza un intervistato su tre (impronte digitali o biometria facciale), è preferita dai giovani (quasi i due terzi sono già abituati all’uso), e soprattutto è semplicissima da utilizzare. Possiamo anche non illuderci a lungo, una volta sfruttata appieno anche gli attaccanti si organizzeranno di conseguenza.
L’autenticazione biometrica, è importante ma…
Al momento una cosa è certa, attribuiamo a questi sistemi virtù taumaturgiche che ancora non hanno. Poco per esempio sappiamo di come l’informazione biometrica è catturata, gestita, e di quale sia la “porzione” dell’informazione registrata ad essere effettivamente utilizzata.
Non mancano gli esempi nella lettura informatica che dovrebbero far riflettere (DeepMasterPrints ricorda nulla a nessuno? e Social Mapper e Trustwave?); e poi bisogna riflettere ancora su un’idea alla base di ogni sistema di sicurezza.
Se si accentra l’autenticazione su tre/quattro parametri fondamentali, per quanto fattori biometrici (viso, impronte, retina) non si innalza comunque il livello di rischio?
Il valore del dato biometrico è infinitamente più elevato di quello di una password e la sua distribuzione può comportare un rischio a sua volta di diversa categoria.
Violata o in circolazione nel dark web un’impronta digitale non è possibile “sostituirla”. Se poi il parametro biometrico viene utilizzato in ogni dove, si può comprendere bene come entrino in gioco seri problemi legati alla privacy.
Autenticazione biometrica e privacy
Il Garante si è già espresso in merito. In Europa i dati biometrici sono stati qualificati dal Regolamento Europeo 679/2016, e il Gdpr (paragrafo 2 art.9) ha introdotto un divieto generale all’utilizzo degli stessi salvo alcuni casi ben indicati che prevedono il consenso dell’interessato: per tutelare un interesse vitale del titolare dei dati, quando il trattamento è effettuato nell’ambito di legittime attività e con garanzie da associazioni o fondazioni senza scopo di lucro, o ancora per assolvere obblighi ed esercitare diritti da parte del titolare del trattamento, per motivi di interesse pubblico, per finalità di medicina preventiva, per archiviazioni di pubblico interesse, o nel caso sia effettuato da un professionista soggetto al segreto professionale.
Insomma, la biometria rappresenta solo una parte della soluzione del problema, è utile, ma richiede una serie di assunti: la consapevolezza nell’utilizzo, e quindi anche la formazione sia di chi la propone, sia di chi la adotta.
La migliore autenticazione possibile resta una scelta multifattoriale in grado di cogliere una serie di combinazioni tecnologiche. Uno scenario verosimile prevede la registrazione su ogni dispositivo e servizio con autenticazione multifattoriale e biometrica ma a seguire un’accurata analisi comportamentale: posizione, abitudini, software utilizzato, ma anche tempi di reazione, e modalità di digitazione delle password. La partita si giocherà su algoritmi e AI scritti e utilizzati sia “dai buoni” sia “dai cattivi”.
© RIPRODUZIONE RISERVATA