Allarme sicurezza: i navigatori non proteggono le proprie password. Nell’era del controllo totale, anche i semplici utenti devono mettersi al riparo dall’occhio indiscreto del Grande Fratello. Che fare?
ROMA – Kevin Mitnick, il più famoso hacker del mondo, lo ripete da tempo: “Ognuno di noi è la più grave minaccia alla sicurezza dei suoi dati”. Posta elettronica, conti bancari, documenti riservati sono continuamente a rischio per la leggerezza con la quale vengono protetti dai loro legittimi proprietari.
Il mese scorso, durante la conferenza “Infosecurity Europe” di Liverpool, è stato reso noto un sondaggio sconcertante. A un campione di impiegati è stato chiesto quale fosse la propria password: il 37 per cento l’ha rivelata immediatamente. Un altro 34 per cento ha ceduto dopo breve insistenza. “Spesso, il modo migliore per ottenere un’informazione è chiederla direttamente”, conferma Mitnick.
Cresce, tra gli esperti di sicurezza, la preoccupazione per come gli utenti scelgono e gestiscono le proprie password. I pirati informatici usano mezzi sempre più sofisticati per indovinare le parole chiave delle loro vittime. Di contro, la maggior parte delle persone non perde pessime abitudini, come quella di scegliere per password il nome del proprio animale domestico o quella di scrivere la password su un post-it per paura di dimenticarla.
“Molta gente pensa: che mi importa se mi rubano la password? Io non ho niente da nascondere”, spiega Scott Granneman, esperto di servizi Internet. “Il problema è che, una volta che qualcuno ne ha preso il controllo, il tuo computer può essere utilizzato per fare cose molto brutte: attaccare siti governativi, diffondere immagini pedopornografiche, inviare spam”.
Secondo Granneman, quando si sceglie una password bisogna seguire tre regole: lunghezza non inferiore ad otto caratteri, mischiare lettere e numeri, maiuscole e minuscole, non utilizzare sequenze di senso compiuto o altrimenti facili da indovinare. Per chi teme di non riuscire mai a memorizzare una parola chiave di questo genere, Granneman ha un suggerimento: “Prendete la vostra canzone o la vostra poesia preferita”, scrive su SecurityFocus, “e usate come password le lettere iniziali delle parole che compongono i primi versi”.
Un appassionato di Dante, ad esempio, potrebbe utilizzare come password “nmdcdnvmrpuso”. Per renderla più complicata, si potrebbe sostituire qualche lettera con un numero di aspetto simile e utilizzare la maiuscola per i monosillabi: “NmDcDnvMrPU50”.
Nella gestione di account particolarmente importanti, ad esempio quelli che permettono di accedere ai conti in banca, si va diffondendo la cosiddetta autenticazione a due fattori: per ottenere l’accesso è necessario conoscere una coppia di password una delle quali scade dopo il primo utilizzo e viene rigenerata in continuazione, oppure utilizzare una password e un dispositivo fisico, ad esempio una smart card.
Si tratta di misure di sicurezza ancora poco diffuse. Uno degli impiegati intervistati dai ricercatori di Infosecurity ha raccontato che nella sua azienda (un call center finanziario) le password vengono rigenerate ogni giorno, ma nessuno ha problemi a ricordarle perché vengono scritte su una lavagna, in modo che tutti le conoscano. “Ma”, ha precisato, “credo che vengano cancellate la sera, prima che arrivino le donne delle pulizie”.
Un’abitudine, quella di utilizzare password facili o note a tutti, che ha radici lontane. Bruce Blair, che a metà degli anni Settanta era impiegato nella struttura di lancio dei missili nucleari Minuteman, ha raccontato recentemente che la parola chiave da digitare per impedire il lancio accidentale era una sequenza di otto zeri.
