CAS@WEB – LA PORTA BLINDATA
29 Settembre 2020CAS@WEB – L’IMPIANTO ELETTRICO
13 Ottobre 2020È COMPLICATO NON COMPLICARSI LA VITA
Terzo millennio. Ormai tutti sanno che “password”, “abcd”, “12345678” o “69allday” sono parole d’accesso da evitare; che non si deve utilizzare la stessa password per siti diversi (“vista una, viste tutte”); che non si devono scrivere (digitale o cartaceo), eccetera, eccetera … ma, onestamente, chi non ha mai fatto almeno una di queste cose per ricordarsi o evitare password troppo complicate?
Chi, stremato, non si è mai posto la fatale domanda: “ma avere una buona password è davvero così importante?”
Considerando che:
- ogni protezione è forte quanto la sua parte più debole;
- nella rete nessuna informazione è inutile e sola;
- quello che è complicato per un essere umano può non esserlo per un programma di computer (e viceversa);
- per un essere umano scegliere una password sicura e facile da ricordare è facile,
la risposta è: “certamente, o resterai senza gelato”.
Mi spiego.
Se i vostri figli hanno la brutta abitudine di mangiare il gelato che custodite gelosamente in frigorifero ogni volta che non siete lì a impedirglielo, rimangono due sole opzioni (non cruente): non comprare più gelato o impedirgli di arrivarci.
Poiché la prima soluzione la considerate ingiusta nei confronti del vostro palato, dovete trovare il modo di poter raggiungere solo voi il vostro barattolo preferito, e si affacciano subito due sole possibili soluzioni: bloccare l’accesso al freezer o al contenuto del barattolo.
Nel primo caso dovreste spendere una fortuna e rovinare un costoso elettrodomestico, nel secondo si tratterebbe di chiudere solo il barattolo con un semplice tappo a combinazione.
Scegliete quindi un tappo con una combinazione a tre cifre, il migliore per rapporto qualità/prezzo, spendendo l’equivalente di sei indigestioni di gelato.
Il giorno dopo, appena tornati a casa, lo sguardo da “gatto-che-ha-appena-mangiato-il-topo” dei vostri figli vi fa sospettare il peggio; ed infatti, raggiunto precipitosamente il freezer e recuperato il barattolo, non solo lo sentirete già molto più leggero di quando lo avete lasciato, ma non riuscirete nemmeno ad aprirlo perché loro, naturalmente, hanno anche cambiato la combinazione.
I giovani hacker del frigorifero avranno provato, nell’ordine, i numeri a tre cifre della vostra vita (il numero civico, i tre numeri della targa dell’auto o i classici numeri di emergenza, per poi dedicarsi a provare in fila tutte le altre combinazioni, impiegando meno di 33 minuti e 18 secondi (due secondi per ciascuna delle 999 combinazioni possibili) per scoprirla.
Una volta aperto, hanno quindi scelto una cifra diversa, così da capovolgere i ruoli: o diventate un hacker pari loro, o potrete accedere ai vostri freddi dati solo quando loro lo permetteranno.
Se infatti consideriamo il barattolo, il suo coperchio e le sue istruzioni come le impostazioni base di sicurezza che i gestori dei siti predispongono per conservare i nostri dati (il gelato) e il tappo/lucchetto come un sistema di protezione (ad esempio un antivirus) che gestisce le modalità di uso di quei dati richiedendo, inevitabilmente, una password, allora abbiamo una idea di come funziona la sicurezza della rete.
Senza il sistema tappo/lucchetto chiunque accede al frigorifero potrà accedere ai nostri dati, ma il sistema tappo/lucchetto funziona solo se la chiave di accesso (la password di tre numeri) è adatta a impedire l’accesso di chi potrebbe essere interessato a loro.
Ogni misura di sicurezza è forte, quindi, unicamente quanto il suo anello più debole.
Scoprire il gusto preferito di gelato potrebbe anche essere poca cosa, ma se, ad esempio, è un gelato senza zucchero o senza glutine, oppure garantito per non avere tracce di frutta secca, dirà di noi non solo quale è il nostro gusto preferito, ma se siamo diabetici, celiaci o allergici a qualche cosa, cioè potrà dare informazioni sulla nostra salute provenienti e utilizzabili in contesti completamente diversi.
Pensiamo ora al modo con cui gestiamo le nostre informazioni sui social network: generalmente riteniamo che chi si impossessa del nostro profilo su un social può avere di noi ben poche informazioni (a chi può interessare se gestisco una pagina di foto di gatti o se sono amministratore di un gruppo di fantacalcio?), ma è un grave errore di valutazione.
Ottenere accesso ad un profilo vuol dire averlo anche a tutto quello che vi è contenuto, dal nostro numero di cellulare all’indirizzo mail, dagli amici che frequentiamo ai luoghi in cui ci rechiamo (o in cui siamo in un dato momento, con soddisfazione dei ladri di appartamento); chi vi ha accesso potrebbe anche riuscire a variare le nostre impostazioni della privacy, autorizzando il mondo intero a vedere tutto ciò che abbiamo postato: basta che uno dei nostri amici abbia un accesso non limitato.
Se questi aspetti non risvegliano un po’ di preoccupazione, perché non appare una gran perdita e sembra che sia comunque possibile porvi rimedio con poco lavoro, pensiamo a chi, utilizzando impropriamente il nostro falso profilo, chiede e ottiene da uno dei nostri amici o parenti (spacciandosi per noi) informazioni o confidenze, come ad esempio l’indirizzo di casa o cosa pensiamo del nostro datore di lavoro, rendendole poi di dominio pubblico.
Nessuna informazione è inutile e sola, nella rete, ma appartiene sempre ad un contesto e raccolta di dati che coinvolge una rete (appunto) di contatti e di dati.
Qualunque informazione contenuta nei social può diventare l’inizio di una catena di altre informazioni e produrre, nelle mani delle persone sbagliate, danni e pericoli non solo a noi, ma anche a chi ci sta intorno: ecco perché risulta fondamentale effettuare verifiche sulla esistenza reale delle persone che stanno dietro ai profili con cui dialoghiamo e condividiamo informazioni (questo sarà argomento di un articolo futuro).
A maggior ragione dobbiamo proteggere adeguatamente i dati che conserviamo nel computer e che non intendiamo condividere con alcuno (o solo con persone selezionate).
Quindi sì, avere una buona password è davvero importante, non solo per il gelato.
Prima di vedere come scegliere una password sicura e facile da ricordare, vanno tenuti presenti quattro principi di sicurezza prima solo accennati.
- Il primo è “mai usare la solita password per siti diversi”: una vulnerabilità sfruttata in un sito minore (ad esempio un blog di cucina o un gioco on-line) potrebbe altrimenti permettere a chi ne viene in possesso di accedere direttamente al nostro conto bancario o alla nostra mail e con questo ripulirlo o cambiarla e ricattarci per potervi accedere di nuovo.
- Il secondo è che “è pericoloso scrivere e conservare le password”: la perdita del taccuino o la violazione del file dove le ho registrate sarebbe devastante per tutti i nostri accessi.
- Il terzo è “evitare password facilmente intuibili”, ad esempio con riferimenti alla propria vita personale o familiare, o quelle comuni (ci sono centinaia di siti che le liste “top” delle password più comuni a livello locale, nazionale e internazionale).
- Il quarto è che “una password breve, ma follemente complicata (da ricordare per un essere umano), non è una password sicura per un computer”. Per fortuna questo principio, nel suo inverso, è proprio quello che ci permette di raggiungere lo scopo: “una password facile da ricordare per un essere umano, se sufficientemente lunga e ben configurata, può essere una password follemente complicata per un computer”.
Se così non fosse, non sarebbe possibile ricordare decine di password completamente diverse, non correlate a nulla di riconducibile a noi e soprattutto uniche.
Uno studio svolto dal sito https://howsecureismypassword.net/ ha stimato che è possibile scoprire qualsiasi password di 8 caratteri composta di lettere maiuscole e minuscole (a,A), numeri (1,2,3,4…) e simboli (&,$,%,£…) in circa 8 ore. Questo significa che una password folle da ricordare, come ad esempio “luK3$$$4”, è sicura per meno di 8 ore, e perciò andrebbe cambiata (imparando le nuove versioni) almeno 3 volte al giorno.
In realtà per ritenere una password sicura dai programmi di decifrazione non è importante che essa sia complicata o difficile (da ricordare per un essere umano), ma che sia lunga quanto basta.
Secondo lo stesso studio, infatti, una password composta unicamente di lettere minuscole, ma lunga 13 caratteri, al momento richiederebbe circa 1 anno per essere trovata da un computer.
Comprendendo questo limite dei programmi di decodificazione delle password, diventa facile riuscire a creare password uniche e facili da ricordare tramite un’associazione di idee, ma difficili da trovare per un computer.
Vediamo in pratica come funziona.
Se si prendono in considerazione alcune possibili password brevi e facili e i loro tempi di decifrazione abbiamo, ad esempio:
- uovo – decifrabile in meno di 11 microsecondi;
- topo – decifrabile in meno di 11 microsecondi;
- balcone – decifrabile in meno di 200 millisecondi;
- panino – decifrabile in meno di 7 millisecondi,
Prese singolarmente, come password queste parole sono sicure quanto usare fogli di carta come mura di una casa; tuttavia, se le si uniscono:
- uovotopobalconepanino – decifrabile in meno di 400×109 anni (90 volte l’età della Terra!)
Se poi inserisco le maiuscole o sostituisco numeri a lettere figurativamente simili (ad esempio il “5” al posto della “S” o il “3” al posto della “E”) o inserisco tra loro simboli, ottengo risultati ancor più follemente fuori range:
- UovoTopoBalconePanino – 37×1033 anni
- U0voT0poBalc0n3Pan1n0 – 200×1030 anni
- U0vo$T0po%Balc0n3&Pan1n0 – 6000×1036 anni
Eppure per ricordarle basta usare un semplice trucchetto mnemonico: “l’uovo me lo ha rubato il topo mentre mangiavo sul balcone un panino”…
Probabilmente anche solo leggendo la frase oramai avete già imparato a memoria quella strana password.
Ricordate comunque che, in questi casi, ci stiamo proteggendo dalle macchine, non dagli umani; vanno quindi scelte parole che non possano essere immaginate con facilità da chi ci conosce o può venire in possesso di informazioni sul nostro conto.
Se sono un appassionato di Dante e tutti lo sanno perché lo cito in continuazione, eviterei NelMezzoDelCamminDiNostraVita.
Ultima considerazione.
Alcuni programmi, giustamente, impongono il rinnovo periodico della password.
In tal caso valutate se aggiungere da qualche parte della password una parte numerica come, ad esempio, mese-anno o anno-mese (ad esempio 1020 o 2010): basterà aggiornare quella parte per avere una password completamente nuova (per la macchina) e ricordarsi il mese in cui è stato fatto.
E magari, con l’occasione, aggiornare anche tutte le altre password non sarebbe una cattiva idea.