lunedì 26 luglio 2010

Le maxi-password sono controproducenti, la chiave giusta è quella 'originale'

La maggior parte degli utenti usa combinazioni molto popolari. E i pirati informatici ne approfittano. Sceglierne una complicata rischia di essere controproducente. L'idea di due ricercatori Microsoft: "I servizi web bandiscano quelle molto comuni". "Una password sicura non deve essere necessariamente lunga e complicata". A dirlo sono due ricercatori del colosso informatico Microsoft, Stuart Schechter e Cormac Herley, che hanno realizzato uno studio specifico assieme a Michael Mitzenmacher della Harvard University.

La loro ricerca è partita da una considerazione secondo cui, su base mondiale, centinaia di migliaia di persone finiscono per scegliere le stesse password. La conferma di ciò che si è sempre supposto si è avuta dal Social Media "Rock you" che, nel 2009, a causa di una falla nei sistemi informatici, ha reso pubbliche 32 milioni di credenziali di suoi iscritti. Da una loro analisi statistica si è visto come esistano vere e proprie password "popolari", ovvero identiche combinazioni di caratteri scelte da un ampio numero di utenti. Il problema, a questo punto, è che i pirati informatici conoscono perfettamente queste password e le sfruttano per i loro attacchi a migliaia di diversi account web. Dal momento che queste password sono molto popolari, è statisticamente molto probabile che prima o poi l'attacco vada a buon fine.


L'ideale sarebbe quindi scegliere password non popolari. Per crearle esistono diversi programmi che le generano a partire da numeri casuali o da informazioni relative all'utente quali il nome o il suo indirizzo IP. Per renderle robuste si utilizzano criteri come la lunghezza, di almeno 8 caratteri (meglio se 14), la presenza di cifre, caratteri speciali e le maiuscole. Tuttavia queste password, anche se decisamente più sicure, sono troppo lunghe e nel tempo diventano difficili da ricordare, soprattutto per via dell'alto numero di chiavi associate a email, social network, conto online e chat. Insomma, se sono complicate alla lunga lo sono anche per noi. Questa difficoltà, secondo i ricercatori americani, potrebbe essere superata se si convincessero gli internauti a scegliere password più "originali".


Il concetto base è che non è tanto importante che la password sia lunga e complicata quanto che sia poco utilizzata sul web. Ecco il punto. Combinazioni di questo tipo consentirebbero infatti di porre gli utenti al riparo da attacchi di pirati informatici che adoperano le cosidette "password popolari". Inoltre gran parte degli account internet bloccano l'accesso all'area personale se la combinazione di accesso errate viene digitata più volte e in successione. In questo modo vengono scongiurati i rischi di quello che si chiama un attacco di "forza bruta", ovvero tentativi di accesso effettuati da programmi che generano automaticamente coppie di username e password e li provano in sequenza. Fino a individuare quella giusta.


I ricercatori spiegano la loro soluzione: creare, in collaborazione con i maggiori fornitori mondiali di servizi internet come Yahoo!, eBay e Google, un database in cui vengono memorizzate tutte le password "poco popolari". Quando una di queste diventa '"troppo popolare", ovvero quando il numero di utenti che la utilizza supera una certa soglia, essa non dovrebbe essere più disponibile e selezionabile per la creazione di nuovi account. I due ricercatori hanno tenuto a sottolineare come la loro sia al momento solo una proposta con lo scopo di stimolare discussione tra chi lavora alla sicurezza informatica anche se al momento non ci sono piani su un eventuale utilizzo da parte di Microsoft.

Fonte: La Repubblica
Tags: Password, Sicurezza, Brute Force, Research, Microsoft

1 commento:

  1. Craccando questo database, tutte le password utilizzate sul pianeta diventerebbero improvvisamente popolari :)

    RispondiElimina