Nonostante la loro lunga storia e le numerose critiche ricevute nel corso degli anni, le password rimangono uno dei meccanismi di autenticazione più diffusi e studiati.
Sebbene, in teoria, rappresentino un metodo perfetto per proteggere le informazioni – soprattutto quando sono generate come stringhe casuali, memorizzate esclusivamente nella mente dell’utente e mai condivise – nella pratica la situazione è molto più complessa.
La vulnerabilità delle password
Gli utenti trovano difficile memorizzare password troppo complicate o prive di un significato personale e spesso finiscono per scegliere combinazioni di parole o frasi facili da ricordare, che però sono anche più vulnerabili agli attacchi.
La vulnerabilità delle password è emersa già alla fine degli anni ’80. Il primo attacco su larga scala a internet, noto come il “Worm di Internet” del 1988, ha messo in luce le debolezze di questo sistema. Da quell’esperienza è nato uno degli attacchi più conosciuti alle password: il “dictionary attack” (attacco a dizionario), in cui un malintenzionato tenta di accedere a un sistema provando parole comuni presenti in un dizionario fino a trovare quella corretta.
Misure per migliorare la sicurezza delle password
Per rispondere a questa minaccia, nel corso degli anni sono state proposte varie soluzioni. Una delle più adottate è quella che impone agli utenti, durante la creazione della password, di inserire caratteri speciali, numeri e lettere maiuscole, rendendo così le password apparentemente più difficili da indovinare.
Inoltre, molti amministratori hanno introdotto l’obbligo di cambiare regolarmente la password, spesso memorizzando le ultime password utilizzate per evitare che gli utenti riutilizzino le stesse combinazioni. Questa serie di misure aveva l’obiettivo di migliorare la sicurezza, ma ha finito per aumentare la complessità del processo, con effetti negativi sull’esperienza dell’utente. Inoltre, le conseguenze di queste restrizioni si sono rivelate, in molti casi, controproducenti, attirando l’attenzione degli studiosi di usabilità nell’ambito della cybersecurity.
Il tema della “usabilità” dei sistemi di sicurezza
Negli ultimi anni, l’usabilità – che misura la facilità con cui un utente può completare un compito o utilizzare un sistema – è diventata un parametro centrale per comprendere l’efficacia delle soluzioni di sicurezza. Gli esperti hanno compreso che un sistema di sicurezza, per essere efficace, deve essere non solo tecnicamente robusto, ma anche facile da usare per l’utente finale. Quest’ultimo deve essere coinvolto nel processo di sicurezza, non visto come un ostacolo o una vittima di meccanismi tecnologici complessi.
Creare un ambiente in cui l’utente si senta parte attiva del processo
Per promuovere una diffusione delle buone pratiche di sicurezza, è necessario creare un ambiente in cui l’utente si senta parte attiva del processo, senza sentirsi schiacciato da regole rigide e spesso incomprensibili.
Per questo motivo, ci si è interrogati sull’efficacia delle procedure di “arricchimento” delle password descritte in precedenza. In uno studio, a un gruppo di utenti è stato chiesto di creare una password con l’unica condizione che fosse lunga almeno 8 caratteri, senza ulteriori restrizioni.
A un altro gruppo, invece, è stato richiesto di seguire le classiche regole di creazione password, includendo caratteri speciali, numeri e lettere maiuscole. Quando si è misurata la complessità delle password generate (tramite un indicatore basato sull’entropia dell’informazione di Shannon), è emerso che i due gruppi avevano creato password di complessità sostanzialmente equivalente. Ciò dimostra che le restrizioni non sempre migliorano la sicurezza, ma indubbiamente aumentano la frustrazione e il distacco dell’utente.
Password: l’aggiornamento delle linee guida del Nist sui meccanismi di autenticazione
Se accanto a ciò si considera che gli attacchi oggi più usati per il furto delle password sono il phishing e più in generale il social engineering e il keylogging (che intercetta le sequenze di tasti digitate dall’utente) assolutamente impermeabili ad ogni possibile politica di composizione delle password si capisce perché il NIST (National Institute of Standards and Technology) ha recentemente aggiornato le sue linee guida sui meccanismi di autenticazione (Digital Identity Guidelines – Authentication and Lifecycle Management), la cui versione 4 è oggi disponibile in draft (SP 800-63-4).
Il documento fornisce una serie di indicazioni agli amministratori di sistema su come condurre un corretto processo di autenticazione per il quale individua tre livelli di robustezza, definiti AAL (Assurance Authentication Level). Più il livello è avanzato, maggiori sono le risorse che gli attaccanti devono impiegare per sovvertire il processo di autenticazione. Le password si collocano al livello AAL1, ovvero il livello più basso di sicurezza, adatto per proteggere informazioni meno sensibili.
Le principali indicazioni presenti nel documento
Queste sono le principali indicazioni presenti nel documento:
- Lunghezza minima: gli amministratori devono richiedere che le password abbiano una lunghezza minima di 8 caratteri, e dovrebbero consentire password fino a un massimo di 64 caratteri.
- Confronto con blacklist: quando un utente imposta o modifica una password, gli amministratori devono confrontarla con un elenco (blacklist) di password comunemente utilizzate o compromesse, come quelle ottenute da precedenti violazioni di dati, parole del dizionario, caratteri ripetitivi o sequenziali (ad esempio, “aaaaaa” o “1234abcd”) e parole legate al contesto (come il nome del servizio o dell’utente).
- Rimozione delle regole di composizione: NON devono essere imposte regole di composizione delle password, come l’obbligo di includere caratteri speciali o numeri. Inoltre, NON è necessario obbligare gli utenti a cambiare periodicamente la password, a meno che non vi sia stata una compromissione.
- Misuratore di forza della password: gli amministratori dovrebbero fornire un misuratore di forza della password per aiutare l’utente a creare una password sicura, offrendo un riscontro immediato sulla qualità della password.
- Limitazioni sui tentativi di accesso: gli amministratori devono implementare un meccanismo di limitazione dei tentativi di autenticazione falliti, abbastanza sofisticato da impedire attacchi di tipo brute force (forza bruta) senza esporre il sistema a vulnerabilità del tipo Denial of Service.
- Supporto per password manager: gli amministratori dovrebbero consentire l’uso della funzione “incolla” durante l’inserimento della password, facilitando così l’uso dei password manager, strumenti che possono aiutare a gestire password complesse e sicure.
- Visualizzazione delle password: per facilitare l’inserimento corretto della password, gli amministratori dovrebbero offrire la possibilità di visualizzarla durante la digitazione, per ridurre gli errori dovuti all’inserimento di caratteri sbagliati, soprattutto sui dispositivi mobili.
L‘importanza di creare meccanismi che vadano incontro alle esigenze degli utenti
In conclusione, queste linee guida del NIST segnano una svolta importante non solo nella gestione delle password, ma nell’intera cybersecurity, sottolineando l’importanza di creare meccanismi che vadano incontro alle esigenze degli utenti. Si promuove una cybersecurity più accessibile e centrata sull’utente, dove la protezione delle informazioni è concepita come un servizio piuttosto che un peso.
La direzione è quella di una sicurezza digitale che bilancia tecnologie avanzate con un’esperienza utente ottimizzata, in cui l’usabilità e la sicurezza non sono più visti come obiettivi contrastanti, ma come elementi complementari di un sistema informatico sicuro e facilmente fruibile.
