Il signor Bill Burr e la password sicura

Il signor Bill Burr e la password sicura

Il National Institute of Standards and Technology, noto principalmente con l’acronimo “Nist”, è l’agenzia del Dipartimento del Commercio degli Stati Uniti d’America, che ha il compito della promozione degli standard, tecnologie e metodologie che favoriscano la produzione e il commercio.

Il signor Bill Burr nel 2003 era un dipendente del Nist.

Egli è salito agli onori della cronaca perché nel 2003 pubblicò un documento tecnico (NIST SP 800-63 Appendice A) con i consigli su come scegliere una password efficace. Documento rilasciato sotto l’egida del Governo USA che attirò immediatamente l’attenzione della comunità informatica e delle telecomunicazioni.

Il documento fece scalpore e divenne un successo internazionale.

Tutte le aziende informatiche e delle telecomunicazioni, come i produttori di sistemi di accesso e verifica, si adattarono ai “consigli” del signore Bill Burr.

Possiamo ben affermare che buona parte della situazione che attualmente si vive in rete è frutto della sua filosofia di pensiero. Quindi la lunghezza delle password, il cambio periodico delle password e il come mischiare lettere e numeri nel creare password sicure, di almeno 8 caratteri, discendono dai consigli del signor Bill Burr.

In un’intervista al Wall Street Journal del 2017, il signor Burr, alla data pensionato,

https://www.focus.it/tecnologia/digital-life/basta-con-le-password-complicate

ha smentito quanto sostenuto precedentemente nel 2003 affermando che cambiare frequentemente le password e mescolando alle parole lettere maiuscole, numeri e simboli, non rappresenta un metodo efficace per proteggere i propri dati.

Questo ha fatto crollare il mito della costruzione e gestione delle password sicure.

A sua discolpa possiamo dire che il signor Burr non poteva immaginare gli sviluppi dell’informatica e quali sarebbero stati i mezzi per rubare le credenziali. Alla data circolano in rete svariate banche dati con credenziali di milioni e milioni di utenti di siti comuni come pure di siti economici e bancari.

La spiegazione che il signor Burr ha dato nella ritrattazione è che l’esplosione della rete con l’aumento del numero di siti web che richiedono userId e password per accedere, ha portato alla gestione di decine di password che si debbono memorizzare rendendo di fatto impossibile una loro corretta gestione.

Giustamente il signor Burr afferma che una password difficile da ricordare non corrisponde necessariamente a una maggiore sicurezza. Come pure l’aggiornamento periodico non aiuta davvero.

Il dover memorizzare troppe password porta a cambiarle facendo soltanto piccole modifiche e si tende solitamente a cambiare appena un carattere in ogni nuova forma, rendendo di fatto la variazione prevedibile.

Questa situazione degenera nell’utilizzo dello stesso codice segreto su diversi sistemi, fino a rendere le password di fatto più deboli e di conseguenza vulnerabile il sistema da proteggere.

La situazione è degenerata negli anni anche a causa della tendenza a adottare, su invito dei provider, misure per la creazione e la mescola delle password sempre più complesse al fine di renderle sempre più articolate così da impedirne, si credeva, la violazione.

Questo ha portato all’unico risultato di dimenticare frequentemente le password e quindi a procedere con l’utilizzo di password semplici o di una sola password per tutti gli usi.

Per questo gli utenti attualmente tendono a creare e gestire password tutte simili tra loro facilitando la vita al soggetto non etico che ha recuperato in rete la password vecchia e che così trova facilmente quella nuova.

Come proteggersi allora?

Eliminando password di lunghezza limitata, sotto gli 8 caratteri, che riflettano singole parole comuni del dizionario con aggiunte semplici stringhe di 123 in testa o in coda.

Un rafforzamento può aversi creando password di lunghezza gestibile, oltre i 10 caratteri, fatte di frasi comuni che alternano lettere maiuscole, minuscole, cifre e simboli della tastiera e soprattutto facilmente memorizzabili.

Meglio ancora pretendere dai gestori dei siti l’utilizzo di meccanismi di accesso a due fattori, ad esempio ad ogni accesso, oltre la password, l’invio di una stringa di caratteri sul cellulare via messaggio SMS.

Altro sistema è l’utilizzo di software locale denominato “cassaforte digitale”, ossia un programma specifico che memorizza le credenziali, come l’account fatto da userId e password, associandole al sito web. Al momento dell’accesso la “cassaforte” rilascia le credenziali rendendo superflua la loro memorizzazione.

Necessita però di mandare a memoria un’unica password, quella della “cassaforte digitale”.

Il problema è che seppure la retromarcia del signor Burr è del 2017, pochissimi sono i siti che si sono alla data adeguati. Dovremo armarci di pazienza considerando che di certo tutto ciò potrebbe non bastare a tutelare l’identità online, ma di sicuro aiuta a migliorare la vita purché il tutto sia accompagnato ad una navigazione più consapevole guidata da una sana diffidenza.

 

Scritto da: Marcello Pistilli