Sicurezza dei dati, tra password e comportamenti

Tra i consigli che gli specialisti di sicurezza ci forniscono per tutelare i nostri account c’è l’attenzione che occorre prestare alla scelta della password, la quale deve essere complicata e soprattutto “robusta”, per evitare che sia facilmente scoperta. Così facendo, però, scegliere una password può diventare faticoso, visto il numero elevato di account che ormai tutti possediamo, anche se è comunque un’operazione necessaria per garantire al meglio la tutela dei propri dati personali.

Gli utenti devono essere consapevoli dell’importanza del loro comportamento nel prevenire furti di credenziali e violazioni da parte di cybercriminali.
Una politica di prevenzione deve essere messa in atto anche dai siti ai quali gli utenti si registrano, ad esempio inducendoli ad adottare password efficaci. Si pensi a quanto questo possa essere importante – in particolare – per i siti ecommerce per il quali la sicurezza dei clienti è ciò che garantisce il loro business.

Violazioni di dati e abusi si riflettono inevitabilmente sulla reputazione e sul business; per questo essi devono adottare tutte le misure e le precauzioni necessarie per proteggere i dati dei propri clienti. Il fenomeno della violazione dei dati è ormai un problema che non può essere assolutamente sottovalutato.

Nessuno, infatti, può ritenersi invulnerabile. Mettere in campo tutte le cautele del caso, sia di tipo tecnico-organizzativo che comportamentale, diventa pertanto un passaggio necessario se si vogliono ridurre il più possibile i rischi di subire violazioni.

Nella terza edizione del barometro di Dashlane, società specializzata nella gestione di password e identità on line, gli esperti hanno analizzato il modo con cui i siti di e-commerce (che vendono in Francia) gestiscono la sicurezza delle password.
Secondo l’indagine, il 52% dei 25 siti analizzati non impone ai loro visitatori l’utilizzo di password complesse, mettendo così a rischio la sicurezza dei dati personali dei loro clienti. Il 36% accetta password facili da ricordare – ma anche da hackerare – come il classico “123456”.

La valutazione Dashlane produce un punteggio compreso tra -100 e +100 calcolato sulla base di una serie di criteri che attribuiscono valori negativi a misure particolarmente carenti dal punto di vista della sicurezza e punteggi positivi per misure particolarmente buone. Tra i criteri negativi, ad esempio, vi è l’accettazione di password banali create dall’utente; tra quelli positivi l’obbligo per l’utente di usare numeri ed altri caratteri non alfabetici per la creazione della password.

Analizzando il barometro Dashlane si rimane sorpresi nel trovare in questa classifica siti e-commerce importanti con punteggi negativi (tabella 1). Nella tabella 2 vengono invece riportati i siti e-commerce con un punteggio positivo. Tra questi al primo posto si colloca Apple con uno score di 100. Una comparazione tra il barometro del 2015 e quello del 2014 evidenzia alcuni elementi interessanti, come la crescita di consapevolezza di alcuni siti nel rafforzare la protezione dei dati dei loro clienti. Ad esempio, si legge nel nuovo barometro che Alloresto, Vente Privée, Cdiscount e Show Room Privé impongono ora ai loro utenti la creazione di password più robuste rispetto al passato (nella comparazione tra i due anni va tenuto conto che il numero dei siti analizzati è cresciuto).

Certo, il principio fondamentale è che, a prescindere dalle sollecitazioni rivolte all’utente da parte dei siti, egli deve comunque essere consapevole dei rischi ai quali può andare incontro se non rispetta semplici regole di sicurezza, come la scelta di password efficaci. Ma di fronte alla naturale tendenza dell’essere umano a risparmiare energie (anche cognitive) e a pensare di poter controllare tutto ciò che lo circonda, non di rado si commette l’errore di sottovalutare l’importanza di alcuni comportamenti di tutela. In aggiunta, come superare il problema di dover ricordare tutte le password create a fronte di un numero sempre più elevato di account?

Di sicuro interesse è la proposta di due ricercatori della University of Southern California, Ghazvininejad e Knight che, in convegno di linguistica computazionale tenuto nel giugno del 2015 hanno proposto una soluzione insolita ma efficace: è possibile creare delle password robuste ricorrendo a brevi poesie. Per essere ricordate devono essere in rima e per resistere agli attacchi non devono essere componimenti noti. I due studiosi hanno realizzato un generatore casuale di password (da usare solo a scopo dimostrativo) ed i loro esperimenti evidenziano che tali password si ricordano più facilmente e sono meno attaccabili.

Di certo, in un ambiente sempre più digitale, strutture e persone devono interagire per garantire al meglio la sicurezza. Gli strumenti ci sono, vanno applicati con rigore e costanza.

RIFERIMENTI

http://www.itrpress.com/cp/2016/2016-01-06_dashlane.pdf

http://blog.dashlane.com/wp-content/uploads/2014/03/UK-Methodology.pdf

http://www.bancaforte.it/notizie/2016/01-2/una-poesia-come-password

http://www-scf.usc.edu/~mghazvin/papers/marjan15.pdf

http://www.isi.edu/natural-language/people/poem/poem.php

A cura di Isabella Corradini, Presidente Centro Ricerche Themis Crime

Articolo pubblicato sulla rivista ICT Security – Gennaio/Febbraio 2016

Condividi sui Social Network:

Articoli simili