Ogni volta che ci sediamo di fronte a un computer, impugniamo uno smartphone o apriamo la pagina di un servizio Web, il primo passaggio è l’autenticazione: per poter accedere alle informazioni e alle funzioni personali, infatti, il sistema dev’essere in grado provare l’identità dell’utente. O, almeno, questa è la teoria: troppo spesso, infatti, si trascurano gli aspetti legati alla sicurezza dei dispositivi e dei servizi personali, per scarsa attenzione o pigrizia, oppure perché obiettivamente alcuni sistemi di autenticazione sono davvero contorti e scomodi da utilizzare. Esistono però soluzioni tecnologiche, strumenti e applicazioni che permettono di semplificare e velocizzare l’autenticazione, senza diminuire la sicurezza o addirittura migliorandola.
di Dario Orlandi
Fin dalla loro nascita, quasi tutti i computer hanno richiesto una qualche forma di autenticazione: la maggior parte di essi, infatti, è stata progettata per essere utilizzata da più utenti, e gli sviluppatori dei sistemi operativi hanno dovuto trovare molto presto qualche meccanismo che permettesse di riconoscere chi si trovava di fronte al monitor e alla tastiera, magari per consentirgli l’accesso ai file e alle cartelle personali. Il sistema più semplice prevedeva l’utilizzo di uno user name, ossia un soprannome breve e facile da ricordare (spesso costituito da una sola parola), associato a una password, ossia una sequenza di caratteri segreta, che permetteva di verificare l’identità dell’utente. Da quando è stata implementata questa forma di autenticazione le potenze di calcolo sono cresciute di migliaia di volte, le capacità di storage sono passati dai Kbyte ai Tbyte, e sono nate nuove tipologie di dispositivi elettronici portatili, come smartphone e tablet; ma la strategia utilizzata per l’autenticazione è in gran parte rimasta immutata. Ancora oggi, infatti, effettuiamo il login al computer tramite la combinazione di nome utente e password, e questa coppia di dati è tutto quello che serve anche per accedere ai servizi online. E questo è il caso migliore: una quota non trascurabile di utenti, infatti, sceglie di bypassare anche questa forma primitiva di autenticazione attivando le funzioni di login automatico al boot, oppure lascia smartphone e tablet privi di qualsiasi protezione, liberamente accessibili da chiunque li prenda in mano.
Queste abitudini sono pericolose, ma ancor più grave è utilizzare password troppo semplici o comuni per accedere ai servizi online, perché se nel primo caso un malintenzionato deve comunque avere accesso fisico al dispositivo che vuole violare, nel secondo può tentare di forzare l’accesso ovunque si trovi. Nel corso del tempo la quantità di informazioni affidate alle memorie di massa dei computer o dei dispositivi mobile o agli storage immateriali dei servizi online è aumentata enormemente, e di pari passo è cresciuta anche la loro importanza: ormai anche gli smartphone e i computer degli utenti privati custodiscono informazioni di grande valore, sia per i loro possessori sia per la criminalità informatica.
Quello della sicurezza non è più un problema che riguarda soltanto le grandi aziende, ammesso che lo sia mai stato; i dati degli utenti privati sono un bottino di valore per i criminali informatici, attratti anche dalla semplicità con cui spesso è possibile recuperarli, proprio a causa degli errori e delle leggerezze da parte degli utenti.
Ma la colpa non ricade sempre su di loro: anche chi ha preso tutte le precauzioni potrebbe vedere i suoi dati violati, a causa di bug e attacchi perpetrati all’altro capo della connessione, ossia sui server dei provider di servizi online.
Quello dei cosiddetti data breach è un fenomeno in continua crescita, che nella prima metà del 2016 ha già visto un incremento di oltre il 10% in volume rispetto ai dati già disastrosi dell’anno scorso. I dati globali, così come quelli relativi al nostro Paese, mostrano una lunga serie di indicatori di crescita: un ampio studio commissionato da Ibm al Ponemon Institute evidenzia aumenti sia nel numero di compromissioni sia in quello di singoli record resi pubblici, così come crescono i costi che le aziende devono sostenere per rimediare ai problemi emersi.
E la situazione non sta migliorando: solo poche settimane fa è stata resa pubblica una colossale compromissione dei dati degli utenti di Yahoo, avvenuta due anni or sono e che ha coinvolto ben 500 milioni di record.
L’impatto di questo genere di violazioni sugli utenti è difficile da quantificare, perché dipende da molti fattori: l’accesso alle informazioni registrate in un forum può esporre i dati personali, ma se le stesse credenziali di accesso vengono utilizzate per autenticarsi in più siti e servizi (o addirittura in tutti) il danno può essere enorme, e rendere pubblica l’intera vita digitale di una persona, con informazioni non soltanto private, ma anche sensibili (situazione medica e finanziaria, legami di amicizia e affettivi, e così via).
Questa grande molte di dati resi pubblici ha permesso analisi statistiche piuttosto interessanti sulla sicurezza degli account: la lista delle 25 password più diffuse (e quindi meno sicure) comprende grandi classici come 123456, oppure password, rispettivamente al primo e secondo posto, molte variazioni sul tema e alcune voci che richiamano serie cinematografiche o letterarie ed eroi dei fumetti. Secondo un’analisi condotta nel 2014, queste password comuni erano utilizzate nel 2,2% degli account: un dato che può sembrare basso, ma in realtà non lo è. La base di dati analizzati era infatti pari a 3,3 milioni di record, provenienti da utenti europei e nordamericani; un calcolo banale permette di ricavare un dato allarmante: oltre 70.000 account potevano essere violati utilizzando un semplice dizionario di 25 password comuni, con uno sforzo bassissimo da parte di un criminale informatico. E se si estrapola il dato per applicarlo a basi di dati ben più consistenti, come quelle degli utenti di servizi come Facebook, Dropbox o Google, è facile capire che i dati di moltissime persone sono in grave pericolo.
La sicurezza informatica è una materia complessa, anche per gli utenti privati che spesso non hanno il tempo, le competenze e l’infrastruttura necessaria per mettere in campo una strategia di protezione completa. Oltre all’implementazione di un sistema di autenticazione robusto e affidabile sono infatti necessari anche molti altri elementi: una protezione antimalware efficace, una strategia di backup dei dati e anche un protocollo di cifratura che metta al riparo da occhi indiscreti le informazioni più preziose. Nelle prossime pagine ci concentreremo sui molti risvolti legati alle tecnologie di autenticazione, ma bisogna sempre tenere ben presente che la sicurezza complessiva dei dispositivi informatici e dei dati in essi contenuti è il prodotto di molti fattori, tutti ugualmente importanti. (…)
Estratto dell’articolo pubblicato su PC Professionale di novembre 2016