Pagine

Visualizzazioni totali

mercoledì 26 gennaio 2011

Password sicure, le regole d'oro


Hackerati gli account di Sarkozy e Zuckerberg. L'esperto di Symantec: ecco i consigli per profili "inviolabili"
Può anche fare piacere scoprire che potenti e semplici cittadini corrono identici rischi quando si tratta di proteggere la propria identità digitale su Facebook. Un “mal comune” dimostrato dal recente caso Sarkozy, il cui account sul social network è stato violato per due volte (l'ultima, martedì), mettendo in imbarazzo il presidente francese e solleticando l'ironia dei detrattori. Di fronte ai pericoli della vita digitale siamo davvero tutti uguali, come dovremmo essere davanti alla legge e a qualche altro inevitabile malanno della vita. Persino il re indiscusso delle reti sociali, Mark Zuckerberg, che Facebook l'ha fondata e resa grande, ha visto la pagina dei suoi fan capitolare nelle mani di un hacker, proprio in queste ore. Ma di chi è la colpa? Degli utenti che scelgono password troppo semplici da individuare, o del sistema di tutela che si basa su una semplice parola d'ordine? Ne abbiamo parlato con Antonio Forzieri, oggi consulente di punta della società specializzata in sicurezza informatica, Symantec, e da sempre addestrato a fronteggiare cyber follie di ogni genere. “La sicurezza digitale è una catena complessa di molti elementi, e l'anello umano è sicuramente il più debole”, ci ha spiegato. “Non sappiamo esattamente come abbiano operato gli hacker che hanno violato l'account – ha precisato -, ma è probabile che abbiano individuato la password usata per accedere al sistema, senza rubarla da qualche database”. Sembra strano che il presidente francese (ammesso che sia lui a gestire questi dettagli del suo accesso a Facebook e non una società specializzata) abbia usato termini facilmente decifrabili, come il nome della moglie usato da tanti di noi, ignorando il fatto che tutto il mondo conosce Carla Bruni, ma le precauzioni prese non sono state comunque sufficienti. “La pigrizia – spiega Forzieri - ci convince a usare password banali: una delle più diffuse è la sequenza numerica '123456', oppure, appunto, nomi di parenti o, anche, della marca di automobile di nostra proprietà. In ogni caso, un sistema di sicurezza basato su una singola password è comunque abbastanza limitato”. Per capire cosa intenda Forzieri basta pensare ai metodi di controllo usati dalle banche, che abbinano ai pin e alle password anche una combinazione numerica, in continuo mutamento, che appare su una chiavetta in possesso dell'utente. “I metodi di sicurezza – prosegue l'esperto di Symantec - si possono basare sulla verifica di qualcosa che l'utente sa (per esempio una password), o che l'utente ha (un documento o qualcosa di simile), o, infine, che l'utente è (un'impronta digitale). Se ci si affida a un solo elemento tra questi, la sicurezza sarà sempre limitata”.

Come scegliere una password sicura
Tutto vero, ma per ragioni anche economiche nessun social network o servizio online simile si sobbarcherà l'onere di simili controlli incrociati, oltretutto mal sopportati dall'utenza. Se quello che ci viene chiesto per proteggere i nostri dati personali è solo una password, bisogna fare in modo che sia la più sicura possibile. Qualche consiglio? “Una password sicura deve essere composta da più di otto caratteri, deve contenere lettere e cifre e possibilmente non riferirsi a elementi della nostra vita facilmente rintracciabili. Bisogna trovare il modo di renderla 'facile da ricordare, ma impossibile da individuare'”. Semplice a dirsi, ma come fare? “Un trucco consigliabile è quello di usare una frase di senso compiuto, o un brano di una poesia che sappiamo a memoria, e di sostituire alcuni caratteri alfabetici con quelli numerici, magari aggiungendo punti eslamativi o interrogativi da qualche parte”. In pratica, si possono trasformare le “i” in “1”, o le “o” in “0”, e così via. Sembra troppo disturbo? Eppure, a quanti e quali dati permettono di accedere le password che scegliamo, e che quasi sempre riutilizziamo per tutti i nostri accessi online: posta elettronica, banche, social network, forum. La sicurezza digitale è qualcosa con cui ancora fatichiamo a confrontarci, ma non riguarda più solo noi. Quando si fa parte di un social network, o di un'azienda, il problema coinvolge inevitabilmente molti altri soggetti, che possiamo esporre, con la nostra imprudenza, a seri inconvenienti. “Il social network è il luogo ideale per la diffusione di virus informatici – conferma Forzieri -, perché lì abbiamo le difese abbassate: non ci aspettiamo che qualcuno nella nostra cerchia di amici ci mandi un malware”. Le ragioni per essere prudenti, dunque, ci sono tutte, anche se non ci chiamiamo Sarkozy e non mettiamo a rischio la nostra credibilità politica. E tuttavia, il braccio di ferro tra i sostenitori della sicurezza e i riluttanti rischia sempre di finire a favore dei secondi. “Ho descritto più volte questo braccio di ferro – racconta il nostro interlocutore – come una sorta di scontro, colpo su colpo. Si comincia con un'azienda che chiede di cambiare password frequentemente, e l'utente risponde reinserendo sempre la stessa. Poi si chiede di inserire una password differente, ma l'utente prima obbedisce, poi chiede di rimodificarla tornando a quella originaria” e così via, finché “finalmente l'impiegato accetta di cambiare spesso la password, ma se l'appunta regolarmente su un post-it incollato al monitor sulla scrivania”. Ed ecco che tutto sfuma. Quando la password si scrive da qualche parte, la sua sicurezza, per quanto complessa e ben scelta, decade. Se proprio si vuole scrivere da qualche parte la propria parola d'ordine, meglio affidarsi ai nuovi strumenti software chiamati Identity Safe, che permettono di archiviare i nostri dati di accesso in ambienti criptati e protetti, certamente meno raggiungibili della nostra scrivania in ufficio o della nostra rubrica telefonica. Ma non farà male un po' di diffidenza anche nei confronti di questi sistemi più evoluti. “Perché un segreto sia tale – è la conclusione – bisogna che noi siamo gli unici a conoscerlo”. Quanti possono dirlo della propria password?