L’Università di Plymouth ha dato notizia di una ricerca pubblicata su Computer Fraud & Security che rivela come i misuratori di password in uso nel web potrebbero ottenere l’effetto contrario a quello desiderato, confondendo l’utente e spingendolo ad adottare password poco sicure.
Malgrado oggi la sicurezza informatica si stia spingendo nella direzione di sostituire l’identificazione tramite password con sistemi che utilizzano dati biometrici la classica vecchia password è viva e vegeta e ha ancora un futuro davanti.
Dunque parte importante della sicurezza informatica è ancora rendere meno facile la vita agli hacker con password difficili da individuare.
A questo scopo sono stati inventati due strumenti complementari, il primo è il generatore automatico di password, ma molti utenti odiano l’idea di usare password senza senso che non saranno mai in grado di memorizzare. Il secondo strumento sono i misuratori di password (in inglese password meters), esistono dei servizi online dove andare a controllare quanto sia robusta la nostra password ma questi misuratori sono anche stati inglobati nelle procedure di iscrizione di molti servizi online. Li conosciamo tutti, stiamo iscrivendoci e al momento di scegliere la password il sito ci avverte che ne abbiamo scelta una troppo facile da individuare e a volte ci costringe a cambiarla con una migliore per poter proseguire.
L’idea non sarebbe male, il problema è che il professor Steve Furnell che dirige il Centre for Security, Communications & Network Research della suddetta università provando questi misuratori di password ha scoperto che non danno risultati univoci, cioè che non sono tutti affidabili, addirittura alcuni sono davvero pessimi! E ovviamente un pessimo misuratore di password è peggio che non averlo affatto perché genera un senso di sicurezza infondato.
Ma cosa ha fatto Furnell? Ha preso 16 password, tra cui dieci volutamente debolissime tra le più comuni usate da utenti poco attenti alla sicurezza, di queste dieci password debolissime solo 5 sono state riconosciute come tali da tutti i misuratori testati.
Per dire alcune enormità riscontrate: “password1” è stata indicata come una buona password da tre servizi! Alcuni servizi non hanno segnalato come password insicure “abc123” o “qwertyuiop” o “iloveyou”.
Furnell accusa i grandi colossi del web di stare facendo troppo poco per alzare la consapevolezza degli utenti su questo aspetto, ma certo che davvero con misuratori di password del genere fai di peggio, se devi dare un’indicazione sbagliata meglio non darne alcuna.
Roberto Todini
