sicurezza user-centric

Password, stiamo sbagliando (quasi) tutto: ecco perché



Indirizzo copiato

Per anni siamo stati costretti a scegliere password che spesso dimenticavamo un’ora dopo, in nome della sicurezza dei sistemi. Tuttavia, il NIST ha confermato che gran parte di questi sforzi è stata effettivamente inutile, promuovendo un approccio che bilanci sicurezza e usabilità. L’obiettivo è una cybersecurity accessibile in cui l’utente diventi parte attiva del processo

Pubblicato il 11 ott 2024

Danilo Bruschi

Professore ordinario, Dipartimento di Informatica Giovanni degli Antoni



password (1)

Nonostante la loro lunga storia e le numerose critiche ricevute nel corso degli anni, le password rimangono uno dei meccanismi di autenticazione più diffusi e studiati.

Sebbene, in teoria, rappresentino un metodo perfetto per proteggere le informazioni – soprattutto quando sono generate come stringhe casuali, memorizzate esclusivamente nella mente dell’utente e mai condivise – nella pratica la situazione è molto più complessa.

La vulnerabilità delle password

Gli utenti trovano difficile memorizzare password troppo complicate o prive di un significato personale e spesso finiscono per scegliere combinazioni di parole o frasi facili da ricordare, che però sono anche più vulnerabili agli attacchi.

La vulnerabilità delle password è emersa già alla fine degli anni ’80. Il primo attacco su larga scala a internet, noto come il “Worm di Internet” del 1988, ha messo in luce le debolezze di questo sistema. Da quell’esperienza è nato uno degli attacchi più conosciuti alle password: il “dictionary attack” (attacco a dizionario), in cui un malintenzionato tenta di accedere a un sistema provando parole comuni presenti in un dizionario fino a trovare quella corretta.

Misure per migliorare la sicurezza delle password

Per rispondere a questa minaccia, nel corso degli anni sono state proposte varie soluzioni. Una delle più adottate è quella che impone agli utenti, durante la creazione della password, di inserire caratteri speciali, numeri e lettere maiuscole, rendendo così le password apparentemente più difficili da indovinare.

Inoltre, molti amministratori hanno introdotto l’obbligo di cambiare regolarmente la password, spesso memorizzando le ultime password utilizzate per evitare che gli utenti riutilizzino le stesse combinazioni. Questa serie di misure aveva l’obiettivo di migliorare la sicurezza, ma ha finito per aumentare la complessità del processo, con effetti negativi sull’esperienza dell’utente. Inoltre, le conseguenze di queste restrizioni si sono rivelate, in molti casi, controproducenti, attirando l’attenzione degli studiosi di usabilità nell’ambito della cybersecurity.

Il tema della “usabilità” dei sistemi di sicurezza

Negli ultimi anni, l’usabilità – che misura la facilità con cui un utente può completare un compito o utilizzare un sistema – è diventata un parametro centrale per comprendere l’efficacia delle soluzioni di sicurezza. Gli esperti hanno compreso che un sistema di sicurezza, per essere efficace, deve essere non solo tecnicamente robusto, ma anche facile da usare per l’utente finale. Quest’ultimo deve essere coinvolto nel processo di sicurezza, non visto come un ostacolo o una vittima di meccanismi tecnologici complessi.

Creare un ambiente in cui l’utente si senta parte attiva del processo

Per promuovere una diffusione delle buone pratiche di sicurezza, è necessario creare un ambiente in cui l’utente si senta parte attiva del processo, senza sentirsi schiacciato da regole rigide e spesso incomprensibili.

Per questo motivo, ci si è interrogati sull’efficacia delle procedure di “arricchimento” delle password descritte in precedenza. In uno studio, a un gruppo di utenti è stato chiesto di creare una password con l’unica condizione che fosse lunga almeno 8 caratteri, senza ulteriori restrizioni.

A un altro gruppo, invece, è stato richiesto di seguire le classiche regole di creazione password, includendo caratteri speciali, numeri e lettere maiuscole. Quando si è misurata la complessità delle password generate (tramite un indicatore basato sull’entropia dell’informazione di Shannon), è emerso che i due gruppi avevano creato password di complessità sostanzialmente equivalente. Ciò dimostra che le restrizioni non sempre migliorano la sicurezza, ma indubbiamente aumentano la frustrazione e il distacco dell’utente.

Password: l’aggiornamento delle linee guida del Nist sui meccanismi di autenticazione

Se accanto a ciò si considera che gli attacchi oggi più usati per il furto delle password sono il phishing e più in generale il social engineering e il keylogging (che intercetta le sequenze di tasti digitate dall’utente) assolutamente impermeabili ad ogni possibile politica di composizione delle password si capisce perché il NIST (National Institute of Standards and Technology) ha recentemente aggiornato le sue linee guida sui meccanismi di autenticazione (Digital Identity Guidelines – Authentication and Lifecycle Management), la cui versione 4 è oggi disponibile in draft (SP 800-63-4).

Il documento fornisce una serie di indicazioni agli amministratori di sistema su come condurre un corretto processo di autenticazione per il quale individua tre livelli di robustezza, definiti AAL (Assurance Authentication Level). Più il livello è avanzato, maggiori sono le risorse che gli attaccanti devono impiegare per sovvertire il processo di autenticazione. Le password si collocano al livello AAL1, ovvero il livello più basso di sicurezza, adatto per proteggere informazioni meno sensibili.

Le principali indicazioni presenti nel documento

Queste sono le principali indicazioni presenti nel documento:

  • Lunghezza minima: gli amministratori devono richiedere che le password abbiano una lunghezza minima di 8 caratteri, e dovrebbero consentire password fino a un massimo di 64 caratteri.
  • Confronto con blacklist: quando un utente imposta o modifica una password, gli amministratori devono confrontarla con un elenco (blacklist) di password comunemente utilizzate o compromesse, come quelle ottenute da precedenti violazioni di dati, parole del dizionario, caratteri ripetitivi o sequenziali (ad esempio, “aaaaaa” o “1234abcd”) e parole legate al contesto (come il nome del servizio o dell’utente).
  • Rimozione delle regole di composizione: NON devono essere imposte regole di composizione delle password, come l’obbligo di includere caratteri speciali o numeri. Inoltre, NON è necessario obbligare gli utenti a cambiare periodicamente la password, a meno che non vi sia stata una compromissione.
  • Misuratore di forza della password: gli amministratori dovrebbero fornire un misuratore di forza della password per aiutare l’utente a creare una password sicura, offrendo un riscontro immediato sulla qualità della password.
  • Limitazioni sui tentativi di accesso: gli amministratori devono implementare un meccanismo di limitazione dei tentativi di autenticazione falliti, abbastanza sofisticato da impedire attacchi di tipo brute force (forza bruta) senza esporre il sistema a vulnerabilità del tipo Denial of Service.
  • Supporto per password manager: gli amministratori dovrebbero consentire l’uso della funzione “incolla” durante l’inserimento della password, facilitando così l’uso dei password manager, strumenti che possono aiutare a gestire password complesse e sicure.
  • Visualizzazione delle password: per facilitare l’inserimento corretto della password, gli amministratori dovrebbero offrire la possibilità di visualizzarla durante la digitazione, per ridurre gli errori dovuti all’inserimento di caratteri sbagliati, soprattutto sui dispositivi mobili.

L‘importanza di creare meccanismi che vadano incontro alle esigenze degli utenti

In conclusione, queste linee guida del NIST segnano una svolta importante non solo nella gestione delle password, ma nell’intera cybersecurity, sottolineando l’importanza di creare meccanismi che vadano incontro alle esigenze degli utenti. Si promuove una cybersecurity più accessibile e centrata sull’utente, dove la protezione delle informazioni è concepita come un servizio piuttosto che un peso.

La direzione è quella di una sicurezza digitale che bilancia tecnologie avanzate con un’esperienza utente ottimizzata, in cui l’usabilità e la sicurezza non sono più visti come obiettivi contrastanti, ma come elementi complementari di un sistema informatico sicuro e facilmente fruibile.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3