"Password password delle mie brame: chi è la più bella del reame?"
"La password più bella è "2bY£4dSàç@°oP7BVù+*oPuHd$5&7=n:@#[6Yx"!\|^ì5%6v£pippo" e non sei tu che sei semplice corta e nota ai più"
"ma dimmi o vate della sicurezza come la ricordo stà schifezza?"
"è semplice e chiaro, il problema sei tu, che non sei un esperto di tutto e di più"
La sciocca filastrocca di sopra mi è venuta in mente leggendo un thread su linkedin:
in cui si sosteneva che una passphrase era meglio di una password complessa ma corta.
il tutto mostrato da questa tabella.
La discussione che ne è seguita è stata interessante per diversi aspetti, alcuni tecnici alcuni ludici, ma la mia impressione in merito è che si è evidenziato, ancora una volta, come gli esperti di sicurezza informatica amino parlarsi addosso e riferire il tutto alla loro conoscenza ed esperienza.
Un Approccio che va a braccetto, spesso, con la mancanza di capacità di astrazione e contestualizzazione. Ci si concentra sul Bit più che su chi il bit lo subisce.
Ora sgombriamo subito il dubbio su alcuni aspetti:
- computazionalmente non credo che vi siano dubbi sul fatto che più lunga è la password più difficile e decifrarla via bruteforce (tentativi iterativi) anche con sistemi misti con dizionari. la questione matematicamente è stata affrontata tramite il concetto di entropia sui dettagli vi lascio l’ottimo post di Paolo Perego: https://codiceinsicuro.it/blog/entropia-password-e-passphrase
- tutti concordiamo, spero, che la gestione delle password va al di la della password stessa. L’archiviazione delle password in luoghi sicuri è altrettanto importante quanto la password stessa. Possiamo avere una password lunga a piacere e poi lasciare che sia archiviata dal servizio che usiamo in chiaro, su un database accessibile con poco sforzo su internet. In questo caso la sicurezza è almeno discutibile.
- Non tutti coloro che usano password sono tecnici informatici esperti di sicurezza, ma c’è sempre da considerare quella sfigata della massaia di voghera usata come cattivo esempio su tutto.
Il punto 3 è quello che mi da più problemi perchè, nella discussione, mi è sembrato sempre mancare questa percezione su chi usa il servizio.
La sicurezza informatica è spesso relegata all’ambito aziendale, nulla di male per carità, peccato che la digitalizzazione dei servizi, anche ludici, si è oramai diffusa ben oltre tale perimetro e quindi occorre iniziare a pensare al fatto che i ragionamenti di sicurezza vanno fatti sul riferimento dei un utente che non è l’esperto di settore.
Un esempio classico è stata la discussione sul remote working (chi lo chiama smart-working si becca una mia personale sequela di improperi), tutti a sollevare correttissime bandierine sul rischio che dalla casa del lavoratore potesse arrivare il mostro che colpiva l’azienda, nessuno, o quasi (io e pochi altri), a valutare l’impatto del rischio verso le pertinenze domestiche del lavoratore remoto. Anche se, chiariamoci, esistono precisi obblighi anche legislativi ed esiste la responsabilità oggettiva in caso di danneggiamenti alle proprie pertinenze o alla propria riservatezza (GDPR docet).
La discussione sulle password si è svolta in maniera analoga, in pura assenza di contesto che non sia quello della propria personale competenza ed esperienza, al punto di negare un punto banale come quello del punto “1”.
Fatevene una ragione, ma sistemi complessi di gestione password non sono di facile implementazione se allarghiamo la platea al di fuori del perimetro aziendale, e quindi guide e supporto in tal senso per il grande pubblico sono necessarie.
Imporre una lunghezza minima per passphrase di 20 caratteri è differente da dare la password minima a 8. E se pensate che l’utente medio usi password managers da telefonino per gestire password complesse vivete probabilmente su un pianeta diverso dal mio.
Quindi obiettare che non è vero che una password mnemonica più lunga sia più sicura rispetto ad una di 10 con caratteri speciali, lettere maiuscole e minuscole è vero nella misura in cui non si considera l’utilizzatore.
Per chi ha una minima familiarità col social engineering probabilmente queste cose sono note, ma tant’è.
Più le password sono complesse meno l’utente medio è portato ad usarle in maniera univoca, inoltre l’esigenza di ricordarle porta alla loro utilizzazione in maniera semplificata, a tutto vantaggio, ad esempio, di dictionary attack.
Se si da una lunghezza minima questa sarà per lo più quella usata dalla maggior parte degli utenti, aumentare il numero minimo di caratteri in questo senso aiuta più che tante prediche.
Più la password è complicata più aumenta il senso di frustrazione degli utenti e la loro intolleranza, la usability anche se non vi piace va tenuta in contro perchè poi incide sui sistemi di sicurezza in maniera pesante, basta pensare che tutti sono informaticamente savi.
Tra una password di 20 caratteri ed una di 10 c’è un fenomeno psicologico interessante che porta utente a sentire meno il peso di introduzione di una passphrase mnemonica perchè la quantità di caratteri consente anche frasi di senso compiuto più facili da ricordare rispetto ad un astruso set da 10 caratteri.
Molte delle tecniche suggerite (cambi posizionali, uso di semplici algoritmi di sostituzione) NON sono alla portata di molti utenti. E piantiamola di credere che non sia cosi, se candidati manager di una PA si lamentano di un test con problemi di terza media pensate davvero che un utente che usa in maniera ludica il computer si metta a fare certi ragionamenti?
I password manager, estremamente gettonati nel thread che ha dato origine a questo post, altrettanto non sono una garanzia per diversi motivi, al di la dei rischi connessi a quelli cloud va da considerare anche il fatto che molti utenti neanche immaginano cosa siano.
Insomma intavolare una discussione sulle password senza tener in conto chi le password le immette rischia di trovare una soluzione ottima ma inutilizzabile ai più, con le relative conseguenze.
my 2 cent ovviamente