Le password sono lo strumento più diffuso di controllo dell’accesso ai sistemi informativi. Tuttavia, i dubbi che già da tempo esistevano in merito alla efficienza ed efficacia di questo sistema di controllo continuano a crescere.
Un rapporto riguardante le violazioni dei dati avvenuti nel solo anno 2019 ha confermato che l’80% delle violazioni informatiche sono state legate a credenziali rubate o riutilizzate.
Per questo motivo è davvero molto importante che ciascun’azienda o utente privato si attivi tempestivamente per migliorare il livello di sicurezza di questa tecnica di autenticazione.
I possibili attacchi
In generale le password sono soggette a numerosi tipi di attacchi. In primis quelli chiamati in inglese “brute force”. Questi effettuano combinazioni automatiche di parole chiave composte da lettere e numeri ed altri contrassegni, per confezionare innumerevoli password. Una possibile difesa contro questo attacco è quella di bloccare l’accesso dopo tre tentativi errati di autenticazione. Un’altra tecnica ancora più diffusa è quella che inganna l’utente coinvolto inducendolo a mettere a disposizione le proprie credenziali di accesso. Gli specialisti di queste tecniche di attacco sfruttano l’ingegneria sociale, diventando sempre più bravi ad ingannare gli utenti. Bisogna considerare, infatti, che un utente medio può essere obbligato a ricordare una ventina di credenziali di accesso che spesso vengono conservate in ubicazioni virtuali apparentemente sicure ma che in realtà non lo sono. Un’altra debolezza degli utenti riguarda l’utilizzare la stessa password per diversi applicativi. In tal caso, il furto di una sola parola chiave comporta la grave perdita di tutti gli altri account.Il segreto nella lunghezza
I gestori dei sistemi informativi hanno cercato di aumentare il livello di protezione delle password, custodendole in archivi protetti da applicativi crittografici. Tuttavia, nemmeno questo tipo di protezione sembra sufficientemente garantistico. Per questo, ormai tutti i responsabili della sicurezza informatica sono convinti che, in attesa di sistemi più efficaci, l’unico approccio che permetta di accrescere il livello di sicurezza delle parole chiave è quello di allungarne il numero dei caratteri. Di conseguenza quasi tutti i principali siti oggi richiedono che una password sia lunga almeno 6-8 caratteri, mescolando numeri, lettere maiuscole e minuscole e caratteri vari. Ciò nonostante, questa situazione rende più difficile per l’utente ricordare la parola chiave in questione. Ecco la ragione per la quale ormai da tempo gli esperti suggeriscono agli utenti di passare dalle parole chiave alle frasi chiave. Con frase chiave si intende un testo, anche piuttosto lungo ma facile da ricordare per ciascun utente in quanto legato a qualche sua esperienza personale estremamente difficile da individuare per un estraneo. Naturalmente la frase chiave non va trascritta in chiaro, ma va alterata con semplici accorgimenti, che non compromettono la facilità di ricostruirla, da parte dell’utente. Ad esempio, la frase “il mio secondo figlio frequenta la classe 4A delle elementari”, può trasformarsi in “2figlio4Ascuola”. L’adozione di queste misure comporta l’avvio di un processo di educazione degli utenti che in genere ricevono molto bene questo tipo di formazione, perché aumenta il loro livello di sicurezza e non aumenta il loro stress nel ricordare le password. Ovviamente, fin da adesso è bene cominciare a pensare a tecniche più avanzate, come ad esempio gli strumenti biometrici, quelli a doppia tecnologia o a due fattori. Nel frattempo, la soluzione proposta è efficiente, efficace e di immediata attuazione. Continua a seguire il blog targato Musa Formazione per altri contenuti di sicurezza informatica e scopri il corso di Ethical Hacker & Security Manager per diventare un esperto di cyber security. Al prossimo articolo!
