Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2010  febbraio 15 Lunedì calendario
La storia raccontata da Giorgio Dell'Arti 

varie, 15 febbraio 2010

PASSWORD

(Voce Arancio)

Una persona su dieci ha almeno 50 password da ricordare.

Secondo un sondaggio della Rsa Security, il 30% degli impiegati deve ricordare, sul posto di lavoro, dalle 6 alle 12 password, il 28% più di 13, il 23% più di 15. L’88% soffre della cosiddetta «password overload», una sorta di ”overdose” da password e reputa questa situazione ”molto frustrante”. Il 25% degli intervistati tiene una lista di tutte le password memorizzata nel computer, il 22% l’ha salvata sul palmare, mentre il 15% l’ha scritta su un foglietto di carta che tiene sulla scrivania. La dimenticanza di una password incide anche sull’economia dell’azienda. L’82% delle telefonate che arrivano al reparto di Information Technology di una società riguardano la perdita delle password. Ogni chiamata ha un costo per l’azienda che va dai 25 e 50 dollari e il 20% degli interventi effettuati dura tra i 6 e i 15 minuti, mentre il 17% va oltre i 16 minuti.

Un paio di anni fa, una signora di Newcastle acquistò un telefonino di seconda mano in un’asta online. Nell’agenda erano rimasti i numeri, i pin e le password per accedere ad alcuni conti bancari in Svizzera.

Una persona su cinque usa password facili da memorizzare.

La società americana Imperva ha analizzato un elenco di 32 milioni di password sottratte da un hacker a RockYou.com, azienda produttrice di software per siti di social network. La chiave più comune è risultata essere la sequenza "123456", scelta da quasi l´1% degli utenti. La seconda "12345". A seguire: 123456789, Password, iloveyou, princess, rockyou, 1234567, 12345678, abc123, Nicole, Daniel, babygirl, monkey, jessica, Lovely, Michael, Ashley, 654321, Qwerty.

Dallo studio è risultato che il 50% ha scelto come password nomi, modi di dire e parole prese dal dizionario. Il 30% ha optato per una lunghezza uguale o al di sotto dei 6 caratteri. Circa il 40% ha usato solo lettere minuscole e il 16% solo cifre. Meno del 4% ha usato caratteri speciali. Solo lo 0,2% è risultato avere un password sicura, con 8 caratteri. Il 20% delle password usate rientra tra le 5.000 più comuni. «Con uno sforzo minimo, un hacker può avere accesso a un nuovo account ogni secondo – o 1000 accounts ogni 17 minuti», spiega Amichai Shulman, ceo di Imperva. «Gli impiegati usano la password di Facebook anche al lavoro, mettendo a rischio il sistema con password non sicure».

La scelta delle password all’inizio degli anni ”90 era simile a quella di adesso: "12345", "abc123", e "password".

Una ricerca inglese condotta dalla compagnia di assicurazioni Cpp ha dimostrato che molte delle password sono facilmente individuabili. Il 43% dei clienti ricorre alla stessa password per ogni tipo di servizio. Il 29% si limita a variare la chiave aggiungendo una cifra o una lettera alla formula base. Il 40% ammette di averla rivelata ad amici, parenti e colleghi.

«A una conferenza sulla security in Gran Bretagna ho promesso una penna a chi mi avesse rivelato la sua password: 9 su 10 me l’hanno comunicata; l’anno dopo l’hanno fatto 7 su 10 in cambio di un uovo di Pasqua» (Kevin Mitnick, hacker).

Matteo Marzotto, presidente dell’Enit, dichiara di averne «una decina, tutte segnate su un foglietto infilato nel portafogli». Giancarlo De Cataldo, giallista autore di "Romanzo criminale", ammette «Vado avanti per inerzia, c’è sempre qualcuno che mi aiuta a introdurre e cambiare password. Ogni tanto la scordo e chiamo un soccorritore». Michele Cucuzza, conduttore di Uno Mattina, è titolare di un blog sempre aggiornato. «Sono un hacker di me stesso. Provo a differenziare in modo presumibilmente furbesco i miei codici [...] Poi li dimentico». Il matematico Piergiorgio Odifreddi ha una sola password che usa per tutto: «E mi girano le scatole perché le banche italiane si ostinano a sceglierti loro il codice di sicurezza». Il giornalista Luca Sofri le dimentica continuamente: «Sono un grandissimo cliccatore del comando ”hai dimenticato la password?”».

La showgirl Maria Mazza conosce la password di Facebook del marito, Ludovico Lieto. «Il suo profilo lo avevo creato io. Un giorno, per curiosità, mi sono collegata, sono entrata nella sua pagina e ho visto che su dieci amici nove erano donne. Mi sono insospettita e ingelosita. Ho deciso di non fare più controlli».

Lo scorso anno un hacker francese, Hacker Croll, si impossessò della password di un dipendente di Twitter. Avuto accesso al profilo di amministratore, spedì migliaia di messaggi firmati Barack Obama e Britney Spears. L’ hacker si introdusse anche negli account degli attori Kevin Spacey e Ashton Kutcher, della cantante Lily Allen, del giornalista Rick Sanchez e di milioni di altri utenti.

Una password, per essere sicura, deve contenere almeno 8 caratteri e di 4 differenti tipi, tra maiuscole, minuscole, numeri e caratteri speciali come !@#$%^&*,;". Questi ultimi non devono essere inseriti né per primi né per ultimi. Più le password è lunga, più tempo occorre per decifrarla. Non deve essere un nome (il nostro, dei figli, del cane, …), una data di nascita, il codice fiscale o una parola del dizionario, né deve includere parte dell’indirizzo mail o del nome utente. Mai utilizzare la stessa per tutti i siti. Meglio averne almeno due, una per i domini importanti (es. conto online) e una per quelli secondari (es. Facebook, …). Se si ha difficoltà a ricordarle, meglio scriverle su un foglio di carta invece che su un file word. Non lasciarle alla portata di tutti e non rivelarne mai a nessuno. Non inviarla mai tramite e-mail.

La password va modificata con regolarità, «Sono come lo spazzolino da denti, vanno cambiate ogni due o tre mesi » (Marco Pancini, responsabile per i rapporti istituzionali di Google).

Una password di 15 caratteri composta solo da numeri e lettere casuali è 33.000 volte più complessa rispetto a una password di 8 composta da caratteri disponibili sulla tastiera.

I simboli più comuni nelle password sono quelli che si ottengono premendo il tasto "maiuscolo" e digitando un numero.

La complessità della password è direttamente proporzionale alla sua sicurezza nel tempo. Una password che contiene meno di 8 caratteri può essere utilizzata per una settimana circa, mentre una password con 14 o più caratteri può essere utilizzata per molti anni.

Password suggest (http://password.10try.com/) crea password sicure e facili da ricordare: si inserisce una parola che risulta familiare e il sistema, partendo da quella, suggerisce 7 possibili chiavi e altrettanti username.

Esempio di creazione di una password complessa: pensare a una frase semplice da ricordare. Esempio: ”Mio figlio Andrea ha tre anni”. Prendendo la prima lettera di ciascuna parola, si ottiene ”mfahta”. Per renderla più complessa si possono utilizzare lettere maiuscole e numeri: ”MfAh3a”. Infine, si possono sostituire delle lettere con simboli simili: ”MfAh3@”.

Una password di 8 caratteri costituita da sole lettere minuscole, per essere rintracciata, richiede circa 208 miliardi di tentativi. Una chiave composta unicamente da 8 numeri è più semplice da trovare. Poiché le cifre vanno da 0 a 9, le possibili combinazioni sono 10 elevato alla ottava, ossia 100 milioni.

Passwordmeter.com verifica l’efficacia delle password: si inserisce il testo e la si fa esaminare. Se risulta ”weak”, (debole) il sito suggerisce come trasformarla in ”very strong” (molto sicura).

I keylogger sono programmi in grado di registrare e inviare a un computer esterno, tutto ciò che si digita sulla tastiera (dalle password alle e-mail d’amore). Esistono anche keylogger hardware che sembrano prolunghe del cavo tastiera e, di solito, passano inosservate. In vendita su keykatcher.com a 74 dollari.

Alcune banche hanno introdotto tastiere virtuali in cui l’utente deve fare clic sulle cifre corrispondenti anziché digitarle.

Nel 2008, un dipendente comunale, sottopressione per il posto di lavoro a rischio, mandò in tilt la città di San Francisco, cambiando la password di alcuni importanti sistemi informatici. Arrestato, consegnò la nuova password solo dopo dieci giorni.

A seguito di un attacco cosiddetto di "phishing", lo scorso anno alcuni criminali informatici sottrassero le credenziali di accesso di circa 20 mila utenti di Gmail (la e-mail di Google) e 10 mila utenti di Hotmail (Microsoft).

Il phishing è un furto d’identità: la vittima riceve un’e-mail, apparentemente spedita da una banca e un link da cliccare che rinvia a un sito identico a quello del vero istituto. Lì viene chiesto di confermare i propri dati e digitare la password del conto online o della carta di credito per una verifica. I pirati informatici registrano i dati e accedono ai conti delle vittime. Il phishing inganna circa il 5% dei destinatari.

In tempi di crisi economica, le credenziali rubate online stanno diventando un bene sempre più richiesto. McAfee Avert Labs ha registrato un incremento del numero di malware finalizzato al furto di password di circa il 400%, tra il 2007 e il 2008. (Fonte: ”Viaggio nel business dei furti di password”, McAfee Lab).

«Password? Quale password? Io non ho neanche la viacard o il telepass. Nulla di ciò che va troppo veloce mi entusiasma: perché non devo scambiare due parole col casellante?» (Gene Gnocchi)

In futuro, la biometria potrebbe liberarci dalle password. Esistono già sistemi di riconoscimento basati sulle impronte digitali, ma la tecnologia che offre più garanzie è la scansione dell’ iride. Una ricerca del National Physics Laboratory britannico, su oltre 2,7 milioni di tentativi, non ha individuato alcun errore di identificazione.

«Io sono un piccolo computer, ho il disco rigido, ricordo il codice del bancomat, quelli bancari, è una cosa di testa, memorizzo facilmente. Ben vengano l’ iride e l’ impronta digitale, ma a me non servono» (Valeria Marini).