La consapevolezza in una password


Mimmo Cosenza

Nòva 24, Domenica, 4 ottobre 2015

Tutti noi siamo iscritti a decine di servizi online, ma non usiamo più di una manciata di password differenti, spesso semplici variazioni di un paio di esse. Se Oscar, il nome con il quale in letteratura crittografica è usuale identificare l’intrusore (Opponent), intercettasse una sola delle nostre password, gli sarebbe facile derivarne altre per impersonarci, mettendoci a nudo, nei molti servizi in cui siamo registrati.

Non a caso i servizi più seri e frequentati consigliano di utilizzare una password complessa e differente per ogni sito che usiamo: se Oscar ne catturasse una, non potrebbe impersonarci presso gli altri fornitori. È però una battaglia impari tra le limitate capacità di memoria e calcolo della nostra mente e quelle di Oscar. Esistono, è vero, tecniche mentali per creare e ricreare alla bisogna password distinte per ogni sito e resistenti agli attacchi di Oscar, ma non sono diffuse quanto meritano.

Chi utilizza la rete da parecchi decenni pone una certa fiducia sulla cura che i fornitori di servizi online hanno delle nostre password. Fiducia basata sul fatto che è prassi nota, quindi scontata, fare in modo che le password non siano salvate in chiaro nei database degli utenti. Purtroppo, incredibile ma vero, non è così: il pressapochismo regna sovrano. Infatti, se ci si prendesse la cura di censire i servizi che registrano in chiaro le password nei loro database degli utenti, si rimarrebbe attoniti dalla massiccia dose di irresponsabilità sociale e di incompetenza tecnica dei fornitori.

Un qualsiasi collaboratore infedele dell’erogatore del servizio che si procurasse l’accesso a quel database avrebbe accesso alle credenziali di tutti gli utenti. Se poi consideriamo, come detto all’inizio, che gli utenti usano poche password diverse, l’Oscar infedele potrebbe agevolmente metterli a nudo anche negli altri servizi in cui si sono registrati. Non basta. Alcuni dei citati irresponsabili, dopo la registrazione, si prendono anche la briga di comunicare in chiaro via email suddette password. E non è ancora finita. Se, come a tutti accade, non ci ricordiamo la password di autenticazione di uno di questi scellerati servizi, prontamente ci rimanderanno la password in chiaro e sempre via email. Se c’è una cosa che attira Oscar è l’email, e per due buoni motivi. Primo, perchè, a meno di usare un canale cifrato, l’email passa in chiaro da un computer all’altro, prima di raggiungere il nostro, aumentando le probabilità che Oscar ci ascolti. Secondo, perchè le email origliate si possono salvare. Se Oscar decidesse di risparmiarci oggi, perchè svogliato, potrebbe sempre decidere di metterci a nudo in un qualsiasi domani.

Se tanta irresponsabilità e incompetenza affliggessero solamente i servizi erogati da società private, tutto sommato il libero mercato potrebbe porvi prima o poi rimedio persino in Italia, premiando coloro che usano tecniche sicure e conosciute da decenni. Quando però è la stessa Pubblica Amministrazione a erogare servizi tanto scellerati da mettere a repentaglio la sicurezza e la privacy online dei suo cittadini, allora questa pratica irresponsabile diventa intollerabile.

La protezione della privacy e la sicurezza online dei cittadini sono tanto importanti quanto quelle nel mondo analogico, che sono parte integrante del contratto sociale fondante di ogni stato democratico da Rousseau in avanti.

Negli Stati Uniti tutta la Pubblica Amministrazione è obbligata ad adottare gli standard aperti di crittografia definiti dal National Institute of Standards and Technology (NIST) e la crittografia ha fatto proprio da decenni il principio militare ottocentesco di Kerckhoffs:

Un sistema crittografico è sicuro solo se completamente pubblicato, con la sola esclusione della chiave di cifratura.

Questo assioma concettuale andrebbe immediatamente trasposto agli schemi di registrazione degli utenti ai servizi online, quanto meno per quelli erogati dalla Pubblica Amministrazione e basati sulla coppia login/password.

Infatti tale coppia (single factor) è ancora oggi considerata superiore alle tecniche biometriche quando si pesino assieme tre criteri: usabilità, sicurezza e, soprattutto, dispiegabilità.

Lo Stato dovrebbe prendersi cura di identificare e definire gli schemi sicuri di registrazione e sottoporli a peer review (cioè alla valutazione aperta tra professionisti ed esperti). Dovrebbe poi realizzarne le implementazioni di riferimento per i maggiori linguaggi di programmazione e pubblicarne i codici sorgenti su GitHub, il più grande repository mondiale di codice libero all’interno del quale pubblicano i sorgenti del loro software anche Google, Facebook, Twitter, Netflix e, guarda caso, anche alcuni importanti Stati.

L’adozione del risultato dovrebbe infine essere imposto a tutti gli erogatori di servizi online della Pubblica Amministrazione che usino schemi single factor di registrazione/autenticazione. Lo stesso Stato che obbliga a usare le cinture di sicurezza e il casco, deve imporre ai suoi Enti il rispetto della sicurezza informatica dei suoi cittadini. Se i politici non riescono a farlo per noi cittadini, che lo facciano almeno per se stessi, perchè prima opoi un qualche Oscar più spiritoso di altri potrebbe fargli cinguettare 140 caratteri più imbarazzanti di altri.