Protezione dei dati: i pericoli di una gestione negligente delle password
Le preoccupanti statistiche in materia di cybesecurity nel nostro paese forniscono, da ormai una decina d’anni a questa parte, una situazione progressivamente sempre più allarmante che sembra non volersi arrestare. I furti di password non ne sono esenti – anzi, ne sono l’esempio più lampante – e si stanno verificando ad un ritmo sempre più elevato e con tecnologie sempre più sofisticate. Quando una credenziale viene sottratta, entra nelle mani di soggetti che hanno accesso ad informazioni quali indirizzo e-mail, nome utente e password della vittima, che possono essere utilizzati (o meglio riutilizzati) per accedere anche ad altri siti web e che spesso si trovano in vendita sul dark web. Chi usa le stesse credenziali di accesso su molti siti web, si espone al grande rischio che una singola violazione dei dati su uno di essi possa dare accesso anche a tutti gli altri account che condividono quel determinato nome utente e password, il che è purtroppo una prassi frequente tra moltissimi utenti. Questo potrebbe però includere, per esempio, l’accesso a sistemi di online banking, social media, dossier sanitari o segreti industriali, anche se ultimamente con l’adizione della direttiva PSD2, quasi tutti i sistemi richiedono un’autenticazione a due fattori difficile da superare se si conosce la sola password. Difficile, tuttavia, non significa impossibile: e questo è il motivo per cui gli utenti sono sempre incoraggiati nella fase di registrazione ad un nuovo sito ad utilizzare password uniche, ed evitare che le violazioni delle password, laddove dovessero verificarsi, siano così dannose ed abbiano riverberi su altri siti. Le password generate dovrebbero anche essere c.d. password forti – ossia lunghe, che includono numeri e simboli e le più bizzarre ed uniche possibili.
A soluzioni di questo tipo hanno pensato, per citare solamente due esempi, Google ed Apple, già da diverso tempo: nel primo caso, utilizzando il browser “Google Chrome”, nel momento in cui ci si registra ad un nuovo sito web che richiede l’inserimento di una nuova password, il browser ne proporrà una complessa e – appunto – bizzarra, che poi sarà automaticamente salvata nel browser per gli accessi successivi. Chi ha un iPhone – per passare al secondo esempio – avrà notato che Apple fa una cosa molto simile, generando e salvando password molto complesse nella fase di registrazione a nuovi siti web. Queste poi vengono, di volta in volta, sbloccate attraverso l’utilizzo dell’impronta digitale (o del FaceID sui modelli più recenti) che assicura la perfetta corrispondenza tra l’utilizzatore del telefono e il soggetto che ha generato la password, titolare dello smartphone.
Per assicurare una sicura gestione e generazione delle password, quindi, sono necessarie due caratteristiche imprescindibili: innanzitutto che le password siano ogni volta diverse (rectius: significativamente diverse: per esempio non è sufficiente cambiare una sola lettera o un numero per rendere la password davvero sicura) ed in secondo luogo che siano il più complesse possibile. Il problema principale alla radice della necessità di creare password complesse ed ogni volta diverse dalle precedenti, è inevitabilmente il fatto che combinazioni bizzarre di lettere, simboli e numeri difficilmente possono essere ricordate.
Proprio per questo, recentemente, un numero sempre crescente di utenti si sta rivolgendo a soluzioni che offrono software di gestione delle password. I programmi di password management, infatti, non sono altro che semplici software che permettono agli utenti di memorizzare e aggiornare le proprie password da un unico tool “protetto” – protetto, per l’appunto – da una password, che è l’unica vera credenziale che l’utente dovrà ricordare e che dovrà essere sufficientemente complessa per assicurare una tenuta ermetica del sistema. Le password degli utenti gestite con programmi di password management possono poi essere anche sincronizzate tra vari computer e telefoni, permettendo agli utenti di accedere a numerose applicazioni senza dover ricordare ciascuna password. Molti programmi di password management poi hanno funzioni ulteriori: per esempio sono in grado di verificare se la password o l’indirizzo email che si sta per utilizzare per la registrazione un nuovo account è comparsa in una fuga di dati in passato, quindi avvertendo in anticipo in caso di possibile esposizione ad una vulnerabilità; altri offrono anche un generatore di password sicuro che rispetti i criteri di complessità citati poc’anzi. In tal caso, l’utente sceglierà una password diversa evitando che quelle utilizzate precedentemente (e che, molto probabilmente, si trovano in vendita sul dark web) possano essere utilizzate per accedere al suo nuovo account. Si tratta di mitigazioni del rischio importanti, che dovrebbero specialmente essere prese in considerazione da coloro che utilizzano il pc per lavorare (specialmente in caso di beneficiari di BYOD) onde evitare di esporre i dati della propria azienda alla mercé di malintenzionati. È molto più facile, infatti, per ogni utente che utilizza sistemi di password management assicurarsi che la password che sta usando sia significativamente diversa da quelle usate in altri siti web, ed è proprio per questa ragione che si spiega il successo ottenuto da questi tool. Si tratta di una forma di forte protezione in caso di eventuali fughe di notizie che si spera che venga adottata da un numero sempre più significativo di utenti, aziende incluse.