Ti sei ricordato di cambiare password?

Da Easyjet a Zoom, solo per citare alcuni casi freschi nella nostra memoria, la parola Data Breach è diventata oramai parte del nostro vocabolario, sfortunatamente. Leggiamo di username e password rubati, di itinerari di viaggio sottratti o magari anche di credenziali di conti corrente duplicate che finiscono in pasto al Dark Web. Ma la vera domanda è, ogni volta che sentiamo una notizia simile, poi ci preoccupiamo di cambiare la nostra password, se veniamo coinvolti?

Fino a pochi anni fa, le regole di buona gestione per le password comprendevano il consiglio di cambiarle tutte in modo regolare e frequente. L'idea, sicuramente lodevole, era che in questo modo si riduceva il tempo di esposizione in caso di violazione della password, e quindi si era ovviamente più sicuri come risultato.

Ironia della sorte, questo è diventato noto nel gergo come “rotazione delle password”, che è esattamente ciò in cui si è trasformato, dove gli utenti si limitavano a ripetere una lista di password che avevano usato in precedenza. La maggior parte delle App controllava e tutt’ora controlla che la nuova password non sia la stessa di quella vecchia, ma pochi vanno molto indietro nel tempo. Gli utenti hanno anche imparato come minuscole modifiche – come aggiungere un numero o un punto esclamativo – contino ancora come nuova password per i vari sistemi in cui è richiesto il cambiamento.

C'era un altro serio problema con la rotazione delle password su una rete aziendale, ovvero che i reparti IT spesso imponevano cambiamenti forzati in modo molto prevedibile, come il primo lunedì di ogni mese. E tutto ciò che introduce la prevedibilità in un processo che dovrebbe essere inondato di casualità. Incoraggiare gli utenti ad apportare cambiamenti in modo algoritmico per aderire a questa dottrina piuttosto che rispondere a un'esigenza reale - come aggiungere le cifre del mese in corso a una password di base che rimane sempre la stessa -, cosa vista e rivista, non era certo la soluzione. Come se non bastasse, policy come questa spesso si trasformavano in regolari chiamate all'helpdesk con messaggi del tipo: "Ops, ho dimenticato la mia password".

C’è veramente bisogno del reset della Password?

Certo, lungi dal suggerire che cambiare password regolarmente sia una pratica inutile, cambiatele quando volete, se lo desiderate, anzi se usate un gestore di password, è ancora più facile farlo. Ma in realtà l'unico momento in cui dovreste sentirvi obbligati a cambiare una password è quando c'è una ragione chiara ed evidente per farlo, soprattutto se pensate - o, peggio ancora, sapete - che potrebbe essere stata compromessa. Fortunatamente, in molti Data Breach (anche se, purtroppo, non in tutti) in cui vengono rubati i dati di autenticazione, i criminal hacker non finiscono per ottenere la password in chiaro assieme al vostro username o email. Le password di solito sono - o certamente dovrebbero esserlo! - memorizzate in forma di hash, dove l'hash può essere utilizzato per verificare che la password fornita sia corretta, ma non può essere riformulata all'indietro per rivelare quale fosse. Di conseguenza, la maggior parte password rubate che arrivano da Data breach richiedono che i criminal hacker prima di tutto decifrino la vostra password provando una lunga lista di congetture fino a quando non ne trovano una che corrisponda all'hash della vostra password.

In parole povere, più lunga e complessa è la vostra password, più tempo ci vorrà perché i truffatori la decifrino.

Provano prima le password più ovvie, quindi PASSWORD sarà probabilmente la prima che provano per ogni utente; Pa55word! potrebbe essere la 100esima della loro lista; ma è improbabile che riescano a provare EOAJSIEQOSFJQIWIVSDOPJP!, perché ci potrebbero volere giorni, o mesi, o anche anni. In altre parole, se un fornitore di servizi vi notifica che il vostro hash della password è stato acquisito da aggressori, rimarrete comunque al sicuro se cambiate la vostra password prima che i truffatori riescano a decifrarla. Anche se la violazione è avvenuta settimane o mesi fa, probabilmente siete ancora in una buona posizione per battere i truffatori, sempre che abbiate scelto con saggezza - e se usate un gestore di password, è facile farlo.

Siamo veramente così veloci?

Quindi, se non cambiamo più le nostre password ogni mese, quanto ci mettiamo a cambiarle quando c'è un motivo valido?

Purtroppo, un articolo pubblicato da un’università negli Stati Uniti suggerisce che un numero preoccupante di noi non è affatto veloce. Il documento, intitolato (How) Do People Do People Change Their Passwords After a Breach? Spiega come i ricercatori abbiano scoperto che pochissimi dei partecipanti a uno studio online avessero intenzione di cambiare le password dopo essere stati informati che queste erano state violate, anche perché credevano nell'"invincibilità" delle loro combinazioni. 

Certo, l'importanza dei risultati dello studio è limitata in qualche modo dall'età dei dati (sono stati raccolti nel 2017 e nel 2018), dalla piccola dimensione del campione di 63 vittime di Data Breach su 249 partecipanti e dal fatto che sono stati monitorati solo gli utenti che hanno inserito le password tramite Chrome o Firefox. Ciononostante, lo studio ha rilevato che 42 dei 63 partecipanti (due terzi) che sono stati informati non hanno cambiato alcuna password. Come se non bastasse, anche quel terzo dei partecipanti che ha cambiato la password, ha impiegato più di tre mesi e molti di loro hanno sostituito le password con nuove combinazioni più deboli.

Ancora più intrigante, anche se forse non sorprende, i ricercatori sostengono che chi ha cambiato la password tendeva, in media, a scegliere un sostituto che era più simile a tutte le sue altre password rispetto a prima. In altre parole, se non si utilizza un gestore per generare combinazioni veramente casuali, la ricerca suggerisce che le scelte delle password tendono a influenzarsi a vicenda e quindi queste diventano meno varie nel tempo. Questo potrebbe non essere un grande vantaggio per i potenziali attaccanti, ma non vi fa esattamente un favore dal punto di vista dell'entropia (Entropia è la parola in gergo per indicare quanto sia "disordinata" la vostra password - dove, in generale, disordine superiore significa più difficile da indovinare).

In breve, gli esseri umani non sono davvero bravi nella casualità, ma non sono nemmeno molto bravi a reagire ai consigli a quanto pare…

Cosa fare?

• Non indugiare, fallo oggi stesso. Se c'è un motivo valido per cambiare una delle tue password, fallo subito e gioca in anticipo rispetto ai criminal hacker;
  
  
• Non prendere scorciatoie. Gli aggressori scopriranno i trucchi o gli schemi che usate per rendere le vostre password diverse, ma abbastanza simili da ricordarle facilmente. Se avete mariorossi-fb per Facebook e mariorossi-tw per Twitter, i criminal hacker scopriranno il resto delle vostre password con facilità;
  
  
• Non pensate di essere invincibili. I criminal hacker probabilmente non riusciranno a decifrare la vostra password se è EOAJSIEQOSFJQIWIVSDOPJP!, ma perché rischiare?;
  
  
• Non usate l’autenticazione a due fattori come scusa. Questa non è una scusa per scegliere una password banale o per usare la stessa ovunque - è pensato per essere un secondo fattore, non solo un diverso tipo di singolo fattore.