ItaliaOggi, 13 aprile 2023
Resettare una password costa 70 dollari alle aziende americane
La password, parola chiave per accedere ai sistemi informatici, dovrebbe essere in via d’estinzione. Nei fatti, non sembra sia ancora così. Queste maledette «stringhe alfanumeriche» sono fonte di guai. Si stima che le richieste di «resettare» la password, o di risolvere difficoltà di accesso al sistema, in molti casi ammontino alla metà dei reclami agli help desk informatici delle società, e che questi interventi, negli Usa, costino all’azienda mediamente 70 dollari ciascuno…
Il problema è a prima vista semplice, almeno da definire. La password che è facile da ricordare è insicura. Quella sicura è, per definizione, difficile da ricordare, e questo spesso ci costringe a scriverla su un pezzo di carta da infilare in un cassetto della scrivania, il che la rende ancora meno sicura… Come se non bastasse, le password «invecchiano» nel tempo e bisogna cambiarle spesso.
La difficoltà è stata studiata, a volte con esiti esilaranti. Da una ricerca condotta dalla Infosecurity Europe nel 2004 su un campione di impiegati pendolari di passaggio in una stazione della metropolitana di Londra, è emerso che, allora, il 71% degli interpellati era disposto a cedere le credenziali della propria password in cambio di una barretta di cioccolato. Ai lavoratori è stata posta una serie di domande, partendo da: «Qual è la password che usa per il computer in ufficio?». Il 37% ha risposto rivelandola. A chi ha preferito non rispondere, i ricercatori hanno chiesto: «Scommetto che ha a che fare con il nome di un figlio o di un animale da compagnia», al che un altro 34% ha rivelato la propria password…
Da allora molto è cambiato. Non è più pratica comune permettere ai dipendenti di inventare la propria «parola» d’accesso, spesso troppo facile da indovinare. Si sta, seppur lentamente, passando ad altri sistemi, a volte «biometrici», come la scansione di un’impronta digitale, oppure a «smart card» di vario tipo. A volte si mescolano le due tecniche, chiedendo sia l’uso della card sia dell’impronta. Sono metodi che però richiedono la presenza del lavoratore davanti a un terminale. Sono anche una sorta di «ritorno al passato», essendo funzionalmente simili, in quanto basati sul possesso di oggetti fisici, alla «chiave dell’ufficio», quella metallica, di una volta.
Queste soluzioni sono «pezze» intermedie. ll problema è per ora irrisolto. Si sa, o almeno si pensa, che la soluzione futura dovrà essere triplice, una combinazione di tre elementi: qualcosa che sai (username/password), qualcosa che possiedi (un cellulare o una chiavetta) e qualcosa che «sei» (dati biometrici permanenti). Ah sì, e il tutto deve essere portatile, per accomodare chi lavora da casa o in viaggio. E pensare che una volta bastava essere davvero la persona che sai di essere…