lunedì 10 agosto 2009

Password ?

Quando si parla di "risorse protette" o di "accesso sicuro", di solito si fa riferimento a meccanismi di autenticazione basati su "username e password". Mentre lo username è normalmente conosciuto (o facilmente conoscibile), la password (si dice) è "segreta". Ci sono almeno due motivi importanti per cui l'autenticazione tramite password non è di solito molto "sicura".

Primo, nella grande maggioranza dei casi, non ci sono o non vengono messi in atto quei meccanismi che obbligano alla scelta di una password non facilmente indovinabile (da un programma, più che da umani). Quante volte ci sentiamo infastiditi da quei sistemi che ci costringono a "pensare" una password che contenga qualche cifra, qualche carattere "speciale", ecc. e che sia "abbastanza  lunga". Laddove questo non viene richiesto, ci accontentiamo di impostare password piuttosto sempliciotte e facilmente indovinabili (sempre da un programma,  che fa molto prima di un umano che prova e riprova "a mano").

Secondo, anche nei casi in cui la password sia "forte", anzi specialmente in quei casi, visto che è difficile da ricordare, si tende a memorizzarla da qualche parte: il caso più banale è trovare password scritte vicino al video o sotto la tastiera; appena più elaborato il caso in cui vengono memorizzate in un file (che magari si chiama "password" e si trova sul desktop dell'utente), infine è anche molto  diffusa l'abitudine di "affidare" le password a vari programmi che le "ricordano" automaticamente (uno per tutti, il Browser).

Purtroppo, è ancora poco diffuso l'utilizzo di Certificati Digitali X.509 per l'autenticazione, e ancora meno quello di tecniche biometriche. Certamente, vale la pena di ricordare che ogni strumento deve essere adeguato e commisurato al livello di sicurezza che si intende raggiungere, e al relativo rischio. Per questo è importante, prima di decidere se affidare la sicurezza dei dati (per esempio) di un database alla semplice "password", effettuare una corretta "analisi del rischio".