Cybersecurity

L’ABC della sicurezza: le password complesse non sono sempre le migliori

12 Settembre 2013

Molti di noi odiano le password.
Chi ha più di un indirizzo email o diversi account di siti o servizi online, sa esattamente di cosa stiamo parlando.
Ormai abbiamo bisogno di una password per qualsiasi cosa, persino sulle carte di credito per rendere più sicuri i pagamenti on line.

Ricordare tutte queste password è difficile…


Password scritta


Di certo, non siete di quelli che usano una sola password per tutto, perchè sapete bene che questa pratica è davvero pessima. Vero?
Le password sono la prima linea di difesa contro l'accesso non autorizzato, anzi l'unica, a meno che non si usi la crittografia.
Abbiamo già fornito una guida per creare password sicure, quello che vogliamo fare ora è parlare delle password complesse e vedere perchè non sempre sono la scelta migliore.
Prendiamo per esempio questa password:
 

Cz ~> Iah]-_zH7s> SPHA)

 
Venti caratteri casuali, lettere maiuscole e minuscole, caratteri speciali…
E' perfetta dal punto di vista della sicurezza.
Ma chi sarebbe in grado di memorizzarla? Nessuno.

Dobbiamo distinguere due casi di utilizzo

  1. Per accedere a un computer

Mediamente la memoria di una persona non può ricordare password complesse più grandi di sei-otto caratteri.
Quello che farebbe chiunque con una password come quella dell'esempio è scriverla e tenerla a portata di mano.
Spesso capita addirittura che siano gli amministratori di sistema ad assegnare queste password e a consegnarle all'utente scritte su carta.

Quali sono i rischi di tale pratica?

Ovviamente, chiunque può leggerle, farne una copia e utilizzarle senza che l'utente se ne accorga.
Ciò che ne consegue è la perdita di dati e la sicurezza di rete compromessa.

  1. Per accedere a un servizio online

I siti non protetti danno la possibilità di memorizzare la password, quelli protetti invece richiedono di immetterla ogni volta.
Se poi si accede da un altro PC o luogo, bisogna portare fisicamente la password con sè: o la si scrive su un pezzo di carta, o la si salva su un supporto rimovibile (una chiavetta USB o uno smartphone).

Qual è il rischio in questo caso?

Che i supporti rimovibili, o il pezzo di carta, vadano persi o rubati.
Peggio ancora se le password vengono scritte insieme all'url del servizio online: è come mostrare la porta e consegnare le chiavi a un perfetto sconosciuto…
 
Qual è la soluzione al problema delle password complesse?
 
Fare in modo che queste password servano solo per il primo log in e poi costringere l'utente a cambiarle e a crearne una complessa, ma che si possa memorizzare.
Anche così, non si può mai sapere se qualcuno decide di scriversele lo stesso da qualche parte, perciò se un dipendente lascia l'azienda, fate scadere le sue password, per evitare che qualcun altro le trovi e le possa utilizzare.

(Tratto da Avira Techblog)

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.