Nel mondo della cybersecurity esistono una serie di convinzioni di vecchia data la cui veridicità, sebbene indiscutibile all’epoca della loro formulazione, è oggi fortemente opinabile. Si tratta di pareri ormai obsoleti, incapaci di riflettere la complessità dell’età contemporanea e che quindi rischiano di provocare effetti diametralmente opposti rispetto a quelli sperati (e che pure un tempo riuscivano effettivamente a sortire). D’altronde è ormai pacifico che Internet sia un luogo in continua e veloce evoluzione, che richiede agli utenti lo sforzo costante di rimanere aggiornati su pratiche e abitudini in perenne mutamento: accettare oggi l’attendibilità di policy e misure ritenute attendibili diversi anni fa non è necessariamente positivo e, anzi, a volte può comportare più danni che benefici. 

Un caso su tutti è quello delle password: molti esperti di sicurezza informatica tendono con una certa facilità ad affermare ancora oggi che una buona pratica in materia di cybersecurity è quella di cambiare periodicamente le proprie password, di norma ogni sei mesi. L’obiettivo dovrebbe essere quello di rendere quanto più impermeabile possibile il proprio dispositivo elettronico ad attacchi provenienti dalla rete, ma spesso il risultato può essere molto diverso. Si tratta di una di quelle convinzioni talmente radicate e tenaci da risultare quasi impossibile mettere in discussione senza sollevare un polverone nel già complesso mondo cyber. Eppure sono già dieci anni che alcuni esperti hanno iniziato a ripensare le pratiche di messa in sicurezza delle infrastrutture informatiche (IT) e dei dispositivi elettronici, un ripensamento però che ha difficoltà a prendere piede su larga scala proprio in virtù di quelle convinzioni di vecchia data, considerate valide ad aeternum.

Procedere a una modifica della password senza alcun valido motivo (senza cioè che il dispositivo sia stato compromesso o la password scoperta) potrebbe risultare più nocivo di quanto si possa pensare e, a dir la verità, anche qualora il sistema sia stato danneggiato, la modifica della password potrebbe non essere sufficiente a risolvere la vulnerabilità, se essa non viene corredata da ulteriori iniziative di messa in sicurezza. Uno dei problemi principali associati alla modifica periodica delle credenziali semplici – quindi deboli – e a modificarle poi in modo prevedibile, di facile intuizione per i potenziali truffatori del Web. Ma vediamo ora due case study che affrontano proprio la tematica, così da poter capire una volta per tutte in che modo possiamo garantire la sicurezza delle nostre password.

Case study 1: “The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis”

Il primo case study che andremo ad analizzare riguarda un interessante studio condotto da alcuni ricercatori dell’Università della North Carolina nel 2009-2010, avente a oggetto la storia delle password di alcuni account disattivati, i cui risultati sono stati descritti all’interno del documento intitolato “The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis”. Il campione era costituito dalle password di oltre 10.000 account disattivati di vecchi studenti, professori e impiegati, cui era stato chiesto di cambiare le proprie credenziali d’accesso ogni tre mesi. Ai ricercatori è stata assegnata, per ogni account, una sequenza da 4 a 15 degli hash delle password precedentemente utilizzate dagli utenti: in totale, si trattava di 51.141 password. I ricercatori hanno dunque tentato di hackerare quante più password possibili partendo dal loro “hash”. I ricercatori dell’Università del North Carolina sono riusciti a impossessarsi di ben il 60% delle password: su 7.752 account, essi hanno identificato almeno una password che non era l’ultima creata dall’utente e da quella password hanno poi potuto portare avanti la propria analisi.

In questo modo, gli studiosi hanno potuto creare dei meccanismi per “craccare” le password, grazie ai quali erano in grado di formulare delle ipotesi sulla base della password utilizzata precedentemente dall’utente. Così procedendo, essi hanno avuto modo di constatare che la maggior parte degli utenti tendeva a optare per password piuttosto prevedibili, le cosiddette “trasformazioni”: la password veniva modificata attraverso l’aggiunta di un numero, la sostituzione di una lettera con una simile (per esempio, “$” invece che “S”), l’inserimento o l’eliminazione di un carattere speciale o la modifica della sequenza dei caratteri (numeri prima e lettere dopo o viceversa).
Tra i risultati più sorprendenti e interessanti della ricerca vi è che dall’analisi perseguita sul 17% degli account a disposizione è emerso come la conoscenza della password precedentemente utilizzata dall’utente abbia permesso ai ricercatori di identificare quella successiva in meno di cinque ipotesi.

Da ciò emerge che se un hacker conosce la password utilizzata in passato da un individuo e ha a disposizione il file della password con “hash” è in grado di individuare anche la password attuale utilizzata per il 41% degli account in meno di tre secondi per account. Lo studio americano dunque evidenzia come la modifica periodica di una password non sia per forza un “salvavita”: un malintenzionato che conosce la vostra vecchia password può facilmente, a determinate condizioni, entrare in possesso anche di quella vigente.
La ricerca ha mostrato poi come gli utenti che avevano optato inizialmente per password semplici tendevano a utilizzare con maggiore frequenza il sistema delle “trasformazioni”, dando via libera agli hacker per il furto delle loro credenziali d’accesso; inoltre, dallo studio è emerso che quando un malintenzionato scopre che l’utente ha modificato la propria password tramite il meccanismo della “trasformazione”, tende ad avere ottime probabilità di riuscire a scoprire le successive password della vittima ogni volta che questa procede a una modifica delle proprie credenziali.

Tweet