Esiste il principio, universalmente accettato, secondo cui le password vanno cambiate periodicamente (ogni 3-6 mesi). Questo in molti casi è addirittura un obbligo (password aziendali, Internet banking, ecc.). Ma è uno degli errori tipici che non bisognerebbe fare nella scelta di una password. Analizziamo questo e altri possibili (leggi la nostra guida completa su come scegliere la password migliore, sicura).
Indice degli argomenti
Cambiare sempre la password è inutile/dannoso
Questa regola nacque nel 2003, quando fu emessa una guida, approvata anche dall’Istituto Nazionale degli Standard e delle Tecnologie (NIST) americano, che era dedicata proprio al corretto uso delle password. Essendo state pubblicate dal NIST, ente molto autorevole, queste linee guida hanno avuto un impatto importante in tutto il mondo.
Ma ormai il dogma è caduto: nel 2017, l’autore, Bill Burr, ha “chiesto scusa” agli utenti perché “l’obbligo di cambio frequente non serve a garantire la sicurezza delle password”. Al contrario, secondo Burr, se l’utilizzatore deve cambiare la password frequentemente, finirà per sceglierla semplice e ripetitiva.
È stato dimostrato che quanto più spesso si chiede a qualcuno di cambiare la propria password, tanto più deboli sono quelle che vengono scelte (magari sostituendo un carattere alla fine).
Oggi le linee guida suggeriscono di non modificare frequentemente le password: il primo ad aver abbracciato questa impostazione è stato il Centro Nazionale di Sicurezza informatica della Gran Bretagna che ha pubblicato nel 2016 la propria guida: “Password Guidance: Simplifying Your Approach“).
Anche perché le password, quando rubate, vengono sfruttate (“exploited”) immediatamente.
Quindi: scegliamo la password una volta sola, ma che sia ben robusta!
Non fidatevi dei “Password Meter”
Quando si imposta una password, compaiono spesso barre colorate rosso/giallo/verde (o semafori) che ci indicano se la password scelta è sufficientemente forte. Dovrebbero essere sistemi che misurano il livello di sicurezza della password, ma sono spesso poco affidabili.
Potrebbe succedere che una password composta da: nome, cognome e data di nascita possa avere un punteggio elevato (perché lunga), sebbene in quanto a sicurezza sia pessima. Mentre una password con caratteri casuali, ma più breve, sarebbe considerata insicura!
Sconsiglio di fidarsi di tali strumenti, meglio far generare la password da un buon password manager… e impostarla ben lunga, tanto sarà il PM a doversela ricordare!
Un altro errore (grave!) che si trova su molti siti è quello di imporre un formato (“pattern”) obbligato per la password. Per esempio: la password deve essere di 8 caratteri (lunghezza fissa!) con una lettera maiuscola e un numero.
È infatti ovvio che è molto più facile indovinare una password di cui si può supporre a priori la lunghezza, piuttosto che individuare una password di lunghezza sconosciuta.
Ma questa sciocca imposizione si trova – ancora – su molti siti, persino in quelli di alcune banche.
Non usare le domande di (in)sicurezza
Come abbiamo visto non è solo l’utente a sbagliare, ma spesso anche chi ci fornisce il servizio. Un’altra impostazione che chi scrive trova assolutamente discutibile è l’uso delle “famigerate” domande di sicurezza.
Le conosciamo e le usiamo tutti: molti siti obbligano ad impostare le “domande di sicurezza per il recupero della password” (qualora ce la dimenticassimo). Ma le domande che ci propongono spesso sono di questo genere (esempi reali, tratti da siti rinomati che non voglio citare):
- Qual era il cognome da nubile di tua madre?
- Qual era il nome della scuola elementare?
- Il nome del tuo primo animale?
- La tua squadra del cuore?
Le domande semplici non sono mai sicure (le risposte in genere sono molto facili) e chi ci conosce bene potrebbe facilmente sapere la risposta.
Talvolta basterebbe controllare l’account social di una persona (soprattutto se famosa) e scoprire la risposta alla “domanda di sicurezza”.
Oppure: domande (o risposte) difficili? Dimenticate subito!
Il caso “The Fappening”
Esiste un caso molto famoso, noto come “The Fappening” (in realtà ce n’è stato più di uno, ma tutti simili) in cui grazie alle domande di sicurezza banali, nel 2014 sono stati violati gli account Apple iCloud di alcune attrici americane (Jennifer Lawrence, Miley Cyrus, Kate Upton, Kirsten Dunst). Le loro foto (alcune non proprio vestite…) sono finite nel web. Il responsabile Ryan Collins è stato poi condannato a 18 mesi di carcere. Nel settembre 2016 il caso si è ripetuto (con la medesima tecnica) per la giornalista di Sky Diletta Leotta e per Pippa Middleton (a cui sono state chieste 50 mila sterline per le 3000 foto private sottratte in iCloud).
