Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

La storia potrebbe cominciare con il classico «C’era una volta...», ma la sincerità e l’evidenza dei fatti impongono di segnalare che c’è ancora. Il protagonista non è un principe, né un orco. l’atavico problema delle password, un incubo che continua a esser presente, inossidabile.
A dicembre scorso l’apocalisse: 32 milioni di parole chiave sono apparse sul web in un elementare file di testo. Il Robin Hood,autore del più clamorososcippo di credenziali per l’autenticazione online, ha voluto risparmiare la gogna ai soggetti cui quelle preziose informazioni si riferivano e – almeno per il momento – ha evitato l’abbinamento tra utente e password.
Non una raccolta lenta e faticosa, ma la banale esecuzione di una procedura che scardina i sistemi attraverso una vulnerabilità fin troppo nota che va sotto il nome di "SQL injection". Una testimonianza che i pirati informatici "si dissetano" non al rubinetto del singolo utente, ma hanno modo di "nuotare" nei grandi database mal custoditi sui server di mezzo mondo. Nella fattispecie è stato scardinato il ciclopico archivio di Rockyou.com. Quel gigantesco file – moderno scalpo dei Cheyenne del web – è stato analizzato con la perizia con cui si procedeesaminando i reperti rinvenuti sulla scena del delitto. Ci ha pensato l’Imperva Application Defense Center (ADC), struttura americana di ricerca, che su un campione così significativo è giunta a tracciare un quadro sconfortante della scelta delle parole chiave. Il primo campanello d’allarme: la brevità e la semplicità delle sequenze selezionate da chi pensa di proteggere i propri segreti. Il 30% circa di chi si mette alla tastiera imposta password pari o inferiore a sei caratteri, mentre oltre il 60% costruisce la propria parola chiave utilizzando una ristretta cerchia di caratteri alfabetici. Non è una novità. I "vecchi" dell’informatica ricordano "le password di Muzio Scevola", ovvero quelle combinazioni che – per automutilazione o per semplice pigrizia – possono essere digitate con una sola mano. Fumatori e amanti del prosecco incapaci di separarsi dal loro flute, hanno scelto – per anni – "Pippo" (la sequenza I O P è sempre parsa irresistibile) e "Fred" (anche questa frutto di un giro di tasti in senso antiorario). Se il ciclo evolutivo ha portato l’uomo prima a raggiungere la posizione eretta e ora quella seduta dinanzi a un pc, il progresso nella individuazione della password è stato caratterizzato da pochi cambiamenti. Più o meno la metà degli utenti predilige nomi di battesimo, termini comuni, vocaboli ricompresi in qualunque dizionario oppure successioni di tasti consecutivi o adiacenti.
A comprova di quest’ultima preferenza, la password più comune tra quelle degli "users" di Rockyou.com è "123456", scelta da ben 290.731 utenti. Seguono in classifica "12345" (79.078), "123456789" (76.790), "password" (61.958), "iloveyou" ( 51.622), "princess" (35.231).
Se un hacker volesse utilizzare la lista delle "Top 5000" password come dizionario per un attacco in danno a clienti di Rockyou.com con un solo tentativo (per utente) avrebbe lo 0,9% di probabilità di azzeccare la parola chiave corretta. Con un massimo di 111 tentativi, poi, il successo sarebbe assicurato. Teniamo conto che un buon pirata informatico è in grado di fare 110 tentativi al secondo, riuscendo in 17 minuti a compromettere almeno 1.000 account.
Il consiglio di Bruce Schneir è prendere una frase e trasformarla in una password. «Tanto va la gatta al lardo, che ci lascia lo zampino» diventa "tVlGaL,cClLz".
La principale raccomandazione, però, va agli amministratori di sistema: fissare una policy rigorosa sulle scelte delle password e sulla loro frequente sostituzione periodica, prevedere connessioni HTTPS per il login, irrobustire i meccanismi di ostacolo agli attacchi di bruta forza, incoraggiare l’utilizzo di "passphrase" che sono imprevedibili e al contempo facili da ricordare.

UMBERTO RAPETTO