Tre curiosità sulle password dei sistemi

Tre curiosità sulle password dei sistemi

Perchè la password viene richiesta due volte?

Sui vari sistemi informatici, al momento della creazione di un account (signup), è molto comune che la password venga richiesta due volte: in un campo “password” ed in uno “ripeti password“.  Al momento della registrazione ad un sito, oppure del cambio di una password, la ripetizione del campo per due volte permette indirettamente all’utente di memorizzare più facilmente la stessa (specie qualora la stia cambiando spesso, come prassi vorrebbe) sia di evitare errori involontari nella digitazione. Quando ci iscriviamo a Twitter, ad esempio, la password viene chiesta solo una volta, ed è come sempre nascosta dietro i “puntini”: per cui è sempre possibile che un utente pensi di averne digitata una, ed invece c’è un misspelling di cui non si è accorto (ne ha scritta un’altra). Quando accederà nuovamente al sistema, la password che pensava di aver inserito non sarà quella effettiva, e questo può creare disagio in certi scenari: in questi casi saremo costretti a ricorrere, fin dai primi accessi, al recupero della password via email, perdendo quindi del tempo che avremmo potuto risparmiarci dall’inizio. Se infatti la password fosse stata richiesta due volte, l’utente avrebbe avuto un feedback immediato sulla sua correttezza prima della creazione/modifica dell’account, e sarebbe stato vincolato a digitarla correttamente.

Screen 2014-09-06 alle 11.54.26

Perchè la password viene mascherata da “puntini” / asterischi?

Il motivo del password masking è essenzialmente legato alla protezione da occhi indiscreti della digitazione: esiste un campo HTML che permette di default di farlo, e questo per evitare che eventuali terzi possano vederla mentre siamo davanti al PC e non ci accorgiamo della presenza di un estraneo. Questo vale, di fatto, sia nel caso in cui accediamo ai nostri account da punti internet pubblici, sia se il nostro computer fosse connesso via desktop remoto (per cui la sessione potrebbe essere vista live o registrata da terzi).

Si tratta di una convenzione a cui gli utenti sono abbastanza abituati, anche i meno esperti, per quanto alcuni consulenti (come Jacob Nielsen) l’abbiano deprecata come misura di sicurezza inutile: questo perchè un malintenzionato può comunque ricorrere ad un keylogger per visualizzare le password in chiaro. A parte il fatto che i campi password occultati non permettono, di norma, procedure come il copia-incolla, in realtà nascondere le password è una pratica che non andrebbe affatto abolita, e non mi trovo d’accordo con la critica espressa da Nielsen per più di un motivo. Anzitutto, perchè digitare password in chiaro – come alcuni addirittura incoraggiano a fare – è l’equivalente di scrivere un PIN del bancomat su un foglio di carta (cosa che ovviamente NON bisogna mai fare). Le password, di loro, non sono pensate per comparire in chiaro in nessun ambito, tant’è che ad es. non vediamo il PIN del bancomat mentre lo digitiamo e, tradizionalmente, sui sistemi UNIX/GNU Linux la password non compare affatto durante la digitazione (in modo che un terzo non possa dedurre facilmente informazioni sulla sua lunghezza e/o composizione). In secondo luogo la protezione dai keylogger è una cosa differente, che non c’entra nulla con la creazione e gestione delle password utente; usare l’una per screditare l’altra confonde inutilmente le acque, ed è un argomento piuttosto barcollante oltre che, a mio avviso poco corrispondente alla realtà. Esistono anti-keylogger sia per Windows che per Mac, ma questo non c’entra nulla con la validità/utilità del password masking.

Mascherare la password è utile ugualmente, per quanto di certo non preservi al 100% da un possibile furto di dati (quale misura di sicurezza permette di farlo, da sola, in fondo?), ed è una pratica che non andrebbe rimossa, pena minare inutilmente. L’uso di plugin secondo me rischiosi per WordPress che permettono di digitare le password in chiaro di default apparentemente semplificano la vita, ma corrono il rischio di rendere decisamente più vulnerabile la digitazione ed il furto delle credenziali di accesso: perchè rischiare, a questo punto?

Quali sono le password più sicure?

Il metodo migliore per digitare una password nominalmente più sicura (44 bit di entropia, cioè 550 anni per indovinarla via brute force per 1000 tentativi/s) è stato descritto da xkcd in una delle strip più famose e citate del sito: si tratta di utilizzare 4 parole comuni slegate tra di loro, in modo da evitare le difficoltà che normalmente ci assalgono quando usiamo password complesse, della serie che, per quanto difficili da indovinare, non riusciamo a ricordare in seguito.

Questa indicazione, che da un punto di vista teorico funziona, potrebbe essere smontata soltanto – nella pratica – dall’ingegneria sociale: ovvero un attaccante che si mostri accattivante e gentile per telefono (e riesca a procurarsi i dati privati che vuole), una richiesta via email da un’ente che non è chi dice di essere (phishing) e così via. Ragionando all’inverso, è bene usare una password differente su ogni account internet che si possiede, e non utilizzare in nessun caso le password elencate durante i vari leak pubblici che si sono susseguiti sul web. Si veda, a riguardo, “password list” o “password leak” su Google, oppure provate a cercare su Google la vostra password: se compare in qualche risultato, è plausibile che non sia sicura (questo si ricollega al discorso fatto in precedenza: nessuna password robusta dovrebbe apparire in chiaro da nessuna parte). Diffidate comunque, per maggiore tranquillità, dai siti che vi richiedono di inserire la vostra password per verificare che sia sicura, perchè potrebbero essere utilizzati per costruire liste di password alle vostre spalle.

 

Photo by Mr. Cacahuate

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.