Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2011  luglio 24 Domenica calendario
La storia raccontata da Giorgio Dell'Arti 

Angelo Aquaro, la Repubblica 24/7/2011, 24 luglio 2011

PASSWORD TROPPO FACILI SUI CELLULARI

«Benvenuto!». Plin! «Comporre il proprio numero telefonico, compreso di prefisso, seguito dal tasto asterisco». Tre quattro otto eccetera eccetera eccetera: plin! «Benvenuto nei servizi Vattelapesca. Digiti il suo codice segreto seguito dal tasto asterisco». Codice segreto? Questo è il problema. Alzi la mano, prima di digitare, chi ha un codice a prova di intercettazione: non c´è segreto meno segreto dei messaggi vocali.
Lo dicono gli esperti di privacy e sicurezza. Lo dicono le statistiche. Lo dice la classifica dei sistemi più usati e, quindi, più prevedibili. Lo dice soprattutto lo scandalo Murdoch: che sbandierando la vergogna dei reporter-hacker ha dimostrato come sia facile entrare nelle caselle vocali. Ma se è tutto così facile perché non si corre ai ripari? Andiamo con ordine. E ripartiamo dalle istruzioni della segreteria.
Il primo fallo è proprio lì. La maggior parte degli operatori permette di accedere anche se non abbiamo installato una password. E quando chiedono il codice segreto? Funziona quello di fabbrica: 1234 seguito dall´asterisco. Così se non provvediamo a cambiare il Pin (personal identification number) chiunque conosca il nostro numero può chiamare la segreteria e ascoltare i nostri messaggi. Non basta. Il mitico 1234 non è solo il codice base. È anche uno dei più usati: perché il più facile da ricordare. Daniel Amitay, uno sviluppatore di applicazioni, ha stilato con il Wall Street Journal la classifica delle combinazioni. Che colabrodo. Esempio: lo stesso numero ripetuto per quattro, tipo 0000, 1111, 2222. Oppure un anno facile da ricordare. O ancora il formato Abab, che ripete le stringhe di numeri "in rima", tipo 1010, 2121, 3131. O i tasti centrali della tastiera: 2580 e il suo contrario 0852. Qui in America va molto anche un altro trucchetto: i numeri 5683, che corrispondono alle lettere della parola "Love".... Peccato ci sia poco di romantico nel farsi violare i segreti. «La verità è che le password delle voice mail sono molto più deboli delle email per questioni di "usability": nessuno vuole pigiare complicate e lunghe combinazioni di caratteri», dice Alessandro Acquisti, professore alla Carnegie Mellon University, tra i più noti studiosi di web e sicurezza. «Ma la facilità di utilizzo causa almeno due problemi. Il primo è ovvio: la forza di una password di 4 caratteri è molto più bassa di una di 10». Una password di 8 caratteri, per esempio, ha 200mila milioni di combinazioni possibili: una password di 4 solo 10mila. Battaglia persa? No: perché sul secondo punto potremmo lavorarci un po´ tutti. «È un problema comportamentale. I sistemi di email ci forzano a scegliere password lunghe e sono quindi più protetti. Quando la voice mail ci lascia scegliere 4 caratteri la nostra innata pigrizia mentale prende il sopravvento e scegliamo combinazioni facilmente memorabili».
Insomma i costruttori e le compagnie possono fare tanto. L´iPhone blocca l´accesso oltre i 10 tentativi. E dopo lo scandalo in Gran Bretagna Vodafone vieta l´utilizzo del fatidico 1234 o di 4 cifre identiche. Ma spetta a noi evitare, per esempio, date di nascita o numeri reperibili su Facebook. Possiamo farcela. Ricordate quando dovevamo mandare a memoria la nostra agendina? In fondo oggi il telefonino lo fa per noi: e noi non siamo capaci di proteggerlo mandando a memoria quattro stupide cifre?