22 luglio 2013

Fine delle password: la profezia fallita

Privacy Online: siamo sommersi da codici ma i primi a trascurare la prudenza siamo noi
di Fabio Chiusi
Bill Gates nel 2004: «Serviranno sempre meno». Invece ne restiamo schiavi Pure le più sofisticate sono vulnerabili. Soluzioni? Dalle pillole ai «tatuaggi»
La fine dell’era delle password è una profezia che risale al 2004. «Non c’è dubbio che con il tempo le persone vi faranno sempre meno affidamento», diceva Bill Gates all’annuale conferenza Rsa sulla sicurezza informatica a San Francisco. Troppi servizi a cui accedere, troppe combinazioni di numeri e lettere da mandare a memoria, secondo il creatore di Microsoft. Così gli utenti ripiegano su quelle preimpostate, o sulla stessa per mail, social network, tutto. E a guadagnarci sono i ladri di identità online.
Dopo quasi un decennio, l’ipotesi di Gates non è mai stata tanto attuale. Perché da allora il problema si è solo aggravato. La cronaca lo testimonia: dall’intrusione nel network online dei videogiocatori Sony a quelli, recenti, di LivingSocial e LinkedIn, sono milioni le password violate, con nomi, cognomi e credenziali di accesso pubblicate in rete e disponibili a chiunque sia dotato di una connessione. Poi ci sono i profili Twitter compromessi. Per quello dell’«Associated Press» è bastato un cinguettio con una notizia fasulla per causare, anche se solo per tre minuti, perdite in Borsa per 136 miliardi di dollari. Ancora, ci sono casi come quello del giornalista di «Wired», Matt Honan, con i malintenzionati in grado di intrufolarsi nel suo profilo su Amazon, poi su Apple, quindi Google, Twitter e infine di cancellare in remoto tutti i contenuti presenti sui suoi iPhone, iPad e MacBook. Risultato? «In un’ora la mia intera vita digitale è stata distrutta».
Colpa del cloud computing, la nuvola informatica che tutti i servizi unisce e rende dunque interdipendenti, nel bene e nel male. Ma anche degli utenti, che non hanno perso la cattiva abitudine di utilizzare password troppo semplici da violare: secondo una ricerca pubblicata dal produttore di soluzioni per la sicurezza SplashData lo scorso novembre, le tre più usate nel 2012 sono state le stesse dell’anno precedente. E cioè password, appunto, 123456 e 12345678. Non esattamente a prova di furto. Del resto, il 91% dei sei milioni di utenti analizzati dal consulente per la sicurezza Matt Burnett per il suo volume Password Perfect (Syngress Publishing, 2006) usa una delle mille parole chiave più comuni. Di nuovo, in testa c’è password, usata dal 4,7% degli utenti. Possibile siano tanto disinteressati alla propria sicurezza online?
I sondaggi danno risposta affermativa. Quello commissionato dal produttore software Janrain sostiene che quattro americani su dieci preferiscano pulire il bagno di casa che cambiare password. Benché, per esempio, ai ricercatori dell’Università di Erlangen, in Germania siano bastati 50 secondi per «crackare» — come si dice in gergo informatico — le password generate in automatico dagli hotspot wifi di Apple. Per il 38%, poi, è più facile risolvere il dramma della fame nel mondo che districarsi tra le decine di parole chiave che ci vengono richieste quotidianamente.
Burnett, raggiunto da «la Lettura», conferma: «Sorprendentemente, la lista delle mille password più comuni è cambiata poco o nulla negli ultimi decenni». Il problema, spiega, è che «è difficile per l’utente medio capire esattamente cosa sia una password forte e cosa una debole. Per molti, un nome e un po’ di numeri sono sufficienti». O una data significativa o un nomignolo. Ma non è così. Anzi, anche sequenze molto complesse sono semplici da violare. Lo ha dimostrato un cronista del sito tecnologico «Ars Technica»: senza alcun rudimento di hacking, e usando solamente programmi gratuitamente reperibili in rete, ha potuto decifrarne 8 mila in un giorno. «Pensavo fosse facile — annota — ma non ridicolmente facile». Il ben più esperto Giuseppe Paternò, decano della sicurezza informatica in Italia, si è spinto oltre. Come racconta via mail, «durante un test per un’emittente radiotelevisiva europea, in una giornata abbondante ho “recuperato” quasi tutte le password sufficienti per arrivare ai sistemi di messa in onda audio/video». E non solo: «Potevo, da posizione remota, cambiare i programmi, o spegnere tutto. Un danno non indifferente». Insomma, il sistema non regge più.
Ma è possibile farne a meno, come ipotizzava Gates? C’è chi ha scommesso sul sì. Motorola sta pensando di sostituire le parole chiave con un «tatuaggio digitale» o una pillola da prendere una volta al giorno per verificare la propria identità in rete. Basterebbe dotare il primo di sensori adatti, e la seconda di un interruttore permandare segnali riconoscibili dai sistemi di sicurezza una volta a contatto con gli acidi gastrici. «Perché non trasformare il proprio intero corpo in uno strumento di autenticazione?», si è chiesta — in un’intervista alla conferenza D11 — Regina Dugan, a capo dell’area Ricerca avanzata dell’azienda ed ex appartenente alla Darpa, l’agenzia della Difesa statunitense dedicata all’innovazione militare.
Meno futuribile, ma con la stessa voglia di archiviare «l’età della pietra» delle password è il progetto di Steve Kirsch, OneID. Un servizio che promette di fornire «la migliore tecnologia per rimpiazzare la combinazione username/ password», e sostituirla con un unico accesso («per domarli tutti», scrive in stile Signore degli Anelli) basato sulla «firma digitale». Per esempio, un codice Pin digitato sul proprio smartphone. Senza che i server dell’azienda custodiscano alcun dato: i segreti della propria sicurezza sono conservati direttamente sul proprio computer o telefonino, e protetti tramite crittografia. Disponibile su «oltre 200 siti», Kirsch sostiene via mail che il suo prodotto sia «una rivoluzione» nella gestione dell’identità online, «il progresso più sostanziale del settore negli ultimi 50 anni». Andrebbe cioè oltre la semplice «autenticazione a due fattori, tramite, per esempio, l’inserimento di un codice ottenuto via sms («non è altro che un’aggiunta a un sistema fallace», dice Kirsch). E rappresenterebbe la versione «affidabile» del bottone che ci permette di accedere a un servizio terzo (per esempio, il misuratore di influenza online Klout) tramite Facebook: «Oggi basta un errore di codifica commesso da Facebook perché qualcuno possa asserire la vostra identità senza il vostro consenso. Con OneID non può accadere».
Anche qui la concorrenza non manca, da Mydigipass all’applicazione per smartphone Authentify xFA,ma non tutti sono d’accordo con i proclami entusiastici di Kirsch. «Se un’azienda sostiene di offrire un prodotto che rimpiazzi le password — dice Burnett — fareste meglio a essere molto scettici». Perché «in un mondo dove i servizi online simoltiplicano e automatizzano, delle password non ci libereremo mai». Strumenti di autenticazione fisica, come le chiavette utilizzate per i servizi bancari in rete, possono sempre essere rubati. «E non potremmo mai cambiare le nostre impronte digitali se fossero digitalmente compromesse», ammonisce il consulente. Conclusione: «Invece di rimpiazzare le password, dovremmo sviluppare modi per renderle più sicure e gestirle meglio». Il problema, prima che tecnologico, è culturale. «Non la password di per sé, ma il fattore umano», nelle parole di Paternò. E la cultura dell’adozione di forme più sicure di autenticazione della propria identità online «manca anche tra gli addetti ai lavori». Senza contare che bisogna anche «trovare il giusto equilibrio tra praticità d’uso e sicurezza». Qualcosa si può fare, tuttavia: «Usare un passwordmanager come LastPass o KeePass, così da non dover ricordare tutte le singole password», consiglia Burnett; «usare una password per sito, e variare anche lo username; sfruttare i sistemi di “autenticazione a due fattori”, che prevedono l’utilizzo congiunto di diversi metodi di autenticazione, quando disponibili».
«Corriere della sera - suppl. La lettura» del luglio 2013

Nessun commento: