Da sempre nel mondo IT la soluzione primaria per identificare e autorizzare un utente all’accesso ad un sistema informatico è stata una parola segreta, la password. La segretezza è però un patto fiduciario tra il sistema e l’utente, in quanto la segretezza non può essere una caratteristica intrinseca della parola, ma può solo derivare dalla sua unicità e dalla non divulgazione di questa a terzi. 

È per questo motivo che la password (segreta) quale strumento esclusivo di identificazione e dunque di sicurezza è da molto tempo posta in discussione (in favore di autenticazioni a più fattori). 

Il primo nemico della sicurezza agli accessi concessi mediante password infatti possiamo essere proprio noi stessi: una password può divenire non più segreta per diversi motivi, di cui tutti (purtroppo) imputabili a noi. 

Il primo più eclatante motivo è la divulgazione più o meno inconsapevole: essere spiati mentre si utilizza la password è un modo inconsapevole, scriverla su un post-it collocato sul monitor o sul coperchio del portatile è certamente più consapevole (e sciocco). 

Il secondo motivo è che, benché sostanzialmente segreta (ovvero nessuno è venuto a conoscenza di essa), la password può essere indovinata. 

Si tratta della possibilità offerta da strategie di attacco denominate “attacco a dizionario” e “attacco a forza bruta”. 

Il concetto è abbastanza semplice: se con un consistente numero di prove qualcuno riuscisse a trovare la parola segreta, quella non lo sarebbe più. Dunque costruendo un insieme di parole da provare, spendibile (in termini di tempo) e probabile (in termini di similitudine a quella reale), chiunque potrebbe tentare di indovinare la parola segreta. 

Affidarsi a parole di dizionario o a parole derivanti da scritture che ricalcano forzatamente alcune strutture (esempio la posizione dei caratteri su tastiera, come “12345”, oppure “qwerty”) non sono una buona prassi, in quanto farebbero esattamente parte dell’insieme di tentativi che qualcuno potrebbe provare per approcciare l’accesso a vostro nome ad un qualche servizio online. Per lo stesso principio, una parola molto corta avrebbe maggiore possibilità di essere indovinata, in quanto il numero di tentativi che comprendano finanche tutti i possibili caratteri è ancora sostenibile. Agire contro questo fenomeno si può incrementando la lunghezza della password e scegliendo il più ampio numero di caratteri possibile (maiuscole, minuscole, numeri, simboli speciali), avendo cura di non ripetere gli stessi caratteri più volte. Insomma, certamente costruire una password robusta è un’arte, ma è fondamentale per proteggere i nostri accessi. 

È per tutto questo che è ragionevole imputare noi stessi per l’insicurezza delle nostre password: se, pigramente, scegliamo password deboli derivanti da parole di dizionario, o brevi, o entrambe le cose, certamente non potremo stupirci di trovare i nostri accessi violati. Se poi, come persino il CEO di Facebook (oggi Meta) fece, usiamo la stessa password per più accessi, allora c’è poco da stare tranquilli. 

È per questo che spesso è consigliato affidarsi ad un sistema “portachiavi” che risolva tutti questi problemi insieme: come prima cosa generano password certamente più robuste di quanto siamo in grado di fare noi, poi sono in grado di generarne tante e sempre differenti al fine di utilizzarle per i differenti accessi di cui disponiamo, ed infine ci vengono in aiuto nel conservare per noi tutte queste parole chiave, che sarebbe oggettivamente difficile da mandare a memoria.

Tweet