Mediamente possediamo dai 20 ai 40 account. Purtroppo però non siamo bravi nel produrre password forti. Preferiamo password corte, utilizziamo informazioni personali, parole comuni, strategie e schemi di composizione e sostituzione prevedibili.

Andrea Pinzani: è IT security expert presso il Consortium GARR

Non siamo bravi neanche a custodirle al sicuro. Nonostante ci abbiano informati sulle pratiche di gestione corrette, non facciamo le scelte giuste per proteggerci, perché entrano in gioco vari fattori più o meno inconsci.

Il motivo principale è la comodità. Desideriamo password facili da ricordare e quindi deboli. Lo facciamo per timore di scordarle, anche se alcuni studi suggeriscono che questa preoccupazione è eccessiva.

Nel concepire una password attingiamo a ciò è già presente nella nostra memoria, pensiamo a ciò che ci piace, agli hobby, ai desideri, e purtroppo anche a dati specifici come i nomi dei familiari, date di nascita, numeri di telefono e di targa ecc. Non è solo questione di pigrizia. Stabiliamo un legame con le nostre password, l'inconscio si libera in questo contesto intimo che dovrebbe rimanere segreto. Per alcuni quella serie di caratteri sono un momento di liberazione, di sfogo emotivo. Le password riflettono la personalità: chi è rigoroso le sceglierà più lunghe e complicate, chi è rilassato e si sente sicuro di se potrebbe non cambiarle mai.

Pensiamo di essere originali, crediamo di saper escogitare metodi validi per creare password forti, in realtà la maggior parte sono scadenti e possono essere violate in breve tempo. Le informazioni personali possono essere raccolte facilmente da i social media.

Vogliamo tenere a mente tutte le nostre password, cioè mantenere il controllo.
Se dimentichiamo la password, fare il recovery è un bel disagio.
Pensiamo che i nostri dati non siano abbastanza interessanti da valere l’attenzione di un hacker.
Ogni misura di sicurezza è un sovraccarico che ostacola il nostro lavoro.

Siamo attenti alla sicurezza di ciò che possediamo fisicamente (portafogli, borsetta), quando però si tratta di qualcosa di immateriale, come i dati, le cose cambiano. Le persone tendono a dare meno valore a ciò che è digitale perché è intangibile. Tendiamo a sottovalutare il rischio. L’atteggiamento dominante sembra essere: "La sicurezza è importante, e le violazioni possono essere disastrose, ma a me non è mai successo". È simile all’atteggiamento che abbiamo verso gli incidenti stradali o le malattie. Non ci preoccupiamo delle conseguenze negative del nostro comportamento, se pensiamo che non ci saranno ripercussioni immediate per noi.

Uno studio ha scoperto che il compromesso tra sicurezza e comodità può essere influenzato positivamente dal fattore temporale. La posizione nel tempo che un utente associa ad un dato evento ne influenza l’atteggiamento. Nello scegliere una password, l’obiettivo di proteggersi dal furto di identità (sicurezza) è percepito come un’eventualità futura, in tali casi la mente lavora in modo più astratto ed efficace nel raggiungere il requisito, mentre l’esigenza di una password fattibile da ricordare è sentita come una necessità a breve termine, in tali casi la mente è più pragmatica e l'obiettivo è la semplicità (debolezza).

Alcuni utenti pensano: “il mio problema in questo momento non è ottenere sicurezza (scegliendo una password forte), ma è concepire una password (che risolvo scegliendo quella più facile per me).” Quindi può esserci sia una distorsione del fine, ma anche un senso di impellenza, dovuto per esempio ad un prompt di sistema in attesa di risposta, che crea ansia.

Per gli account bancari vengono create password migliori rispetto a quelle per la posta elettronica. Il tipo di account è quindi una possibile motivazione per la quale si rinuncia alla comodità in favore della sicurezza. È il timore di subire un danno che porta ad un maggiore impegno.

Per il furto di credenziali il metodo che ha l’impatto più alto è il data breach. Gli hacker attaccano siti di e-commerce e rubano tutte le informazioni sui clienti, comprese le password. Oppure acquistano credenziali rubate nel dark web.
Gli aggressori fanno le stesse valutazioni che facciamo noi sulla qualità delle password, e attuano attacchi più efficaci usando elenchi di password ricorrenti, desunte dai data breach. Le attuali velocità di elaborazione hanno reso le password di otto caratteri facilmente decifrabili.

A causa della password deboli e dei maggiori attacchi, le aziende hanno imposto requisti più stringenti sulla complessità delle password. Maggiore lunghezza, set di caratteri ampio (maiuscole, minuscole, numeri e simboli), non usare parole del vocabolario, non annotare ma memorizzare.

Queste norme costringono alla creazione di password difficili da ricordare e da usare, sono policy irritanti e frustranti. È possibile adottare tecniche mnemoniche, per esempio le prime lettere di frasi famose, poesie, ecc., ma se la password dev’essere cambiata spesso l'utente non ricorda quale mnemonico usare. Inoltre gli mnemonici che portano a password come "2BOrNot2B" le rendono più facili da indovinare.

I requisiti di complessità non funzionano, ed inducono gli utenti a commettere altri errori.

L’analisi dei database di password violate ha evidenziato che una maggiore complessità non porta ad una maggiore forza. Quando le persone sono costrette a creare password complesse, il risultato può essere scarso. Certe lettere e certi numeri vengono usati con maggiore frequenza, raramente viene sfruttato a pieno il set di caratteri. Se viene stabilita una traccia obbligatoria (pattern), è probabile che gli utenti la utilizzino in modi prevedibili. Ad esempio "Pa55word!" è conforme alle regole comuni, ma è una combinazione nota e quindi debole.

È noto che il riuso della stessa password su più account è sbagliato, ma molti utenti lo fanno lo stesso. Selezionano solo poche password che soddisfano i requisiti, e poi le riusano. Se un hacker si impossessa di un account, il password reuse comporta la compromissione di tutti gli altri. Buona parte degli utenti utilizza le stesse password sia a casa che in ufficio, mettendo a rischio anche l’azienda. Quando viene richiesto un impegno eccessivo, gli utenti reagiscono trovando modi per semplificarsi la vita. Su sistemi che impediscono di riusare per esempio le ultime cinque password, gli utenti le cambiano intenzionalmente più volte, fino a poter riutilizzare quella preferita.

L'affaticamento da password (password fatigue) è la sensazione provata da chi deve ricordarne un numero eccessivo, e contribuisce allo stress.

Combinando gli effetti dei data-breach e del password reuse, si ottiene una amplificazione del rischio negli accessi illeciti.

Un altro errore consiste nell’annotare in modo insicuro le password: con un biglietto sul monitor, su un foglio nel cassetto, o in un file non criptato nel pc o nel cellulare. Il consiglio è di permettere di scriverle, ma solo in modo sicuro, per esempio chiuse in cassaforte o addirittura nel portafogli.

Ai precedenti errori contribuisce anche il cambio periodico obbligato della password. Se si usa una password veramente complessa, non ha molto senso cambiarla. Nessuno cambia le serrature della propria casa ogni anno per avere una protezione extra. Vanno modificate solo quando si sospetta una compromissione.

Invece di concentrarci solo su quella che è una password accademicamente perfetta, va considerato anche l'elemento umano, usando il buon senso. Occorre accordarsi con le persone, prendendo atto di come sono, e sviluppare soluzioni che funzionino. Non è sufficiente istruire gli utenti sulle cose giuste da fare, non devono essere lasciati a loro stessi.

Tips and advice

Sensibilizzate e motivate gli utenti. Aumentate la consapevolezza del rischio, spiegando gli attacchi come il phishing ed il social engineering, e dogmi come “le password non si rivelano mai”, a nessuno. Alcuni utenti non cambiano le password neanche dopo aver appreso dei data breach. Evidenziate che i benefinci riguardano anche le password personali usate a casa.

Concentratevi sulla facilità d'uso. Implementate metodi di autenticazione alternativi come Single Sign-On (SSO), che riduce la necessità di ricordare più password.

Incoraggiate l’uso delle passphrases (vedi diceware), di almeno 20-30 caratteri. Sono più memorizzabili delle password e più difficili da indovinare. La chiave per ottenere forza è la lunghezza, non la complessità.

Usate un password strength meter per far produrre password forti.

Usate un generatore casuale di password o passphrase.

Usate un gestore di password, per custodirle in modo criptato, in tal modo è necessario ricordare una sola master password. (È fondamentale fare il backup, e conservare la master password in un posto sicuro).

Adottate tecnologie di inserimento automatico delle credenziali.