Back        Prossimo "Mancante"

Il problema non sono le password

28 March 2006

Ma la loro gestione da parte degli amministratori e sui sistemi: questa la tesi di un lettore secondo cui la moltiplicazione delle password costringe l'utente a ricorrere a parole d?ordine sempre uguali e, quindi, insicure.

Roma - Prendo spunto da una considerazione riportata nell’articolo sul telelavoro. Viene considerato come rischioso il fatto che le persone utilizzino la stessa password per accedere a servizi differenti su Internet (e non). ? assolutamente vero che questo comportamento è una seria minaccia alla sicurezza, sia per quanto riguarda l’accesso ai dati che per le responsabilità attribuibili all’utente.

D’altra parte ritengo assolutamente sbagliato bollare questo comportamento come assurdo: al giorno d’oggi è normale dover gestire decine di password (per l’accesso a vari elaboratori, programmi, caselle di posta, account di assistenza su Internet, e così via). Non è umanamente possibile ricordarsi cos? tante password, soprattutto se non banali, e cambiarle con un’adeguata frequenza.

Il vero problema sta nel fatto che tutte queste password vengono trasferite e memorizzate in chiaro da molti dei sistemi che offrono i servizi a cui accediamo (basti pensare alla posta elettronica, alla webmail, ed all’accesso a siti web protetti).

Chiunque abbia accesso al database di una webmail può ottenere la password in chiaro di chiunque, ed utilizzarla per accedere ad altri servizi. I nomi degli account sono anche facili da indovinare.

Occorre assolutamente passare a meccanismi crittografici non reversibili, in modo da garantire che le password non transitino mai in chiaro, e che non vengano mai memorizzate in chiaro su alcun server.

In aggiunta, l’autenticazione one-time è diventata ormai un must: i sistemi che si ricordano per noi le nostre password sono la dimostrazione che dobbiamo continuamente autenticarci sui più svariati servizi e risorse in Rete.

Ritengo importante che il Garante per la Privacy si muova nella direzione di una legge che obblighi tutti i fornitori di servizi ad implementare meccanismi sicuri per la gestione delle password, in quanto i buoni propositi non possono essere equiparati a garanzie.

Il passo successivo, ma urgente, è il certificato digitale personale, utilizzabile per effettuare one-time-login.

Cordiali saluti
Andrea R.

Gentile Andrea
concordo pressoché su tutto, conosco peraltro diverse persone che vivono di foglietti che ricordano le password più disparate, o che non trovano mai quando serve loro una certa password per un certo servizio: insomma il problema è ampio.
Più che regolamenti ad hoc, a mio avviso all’atto della sottoscrizione di un servizio all’utente dovrebbe essere data notizia di come le sue password verranno gestite, con quale sicurezza e con quale modalità, affinché ciascuno sia libero di scegliere.
Val la pena poi ricordare che ci sono una certa quantità di software, da KeePass Safe a Password Manager passando per Password Guard o Password Corral che facilitano l’archiviazione anche di grandi quantità di password e anche in mobilità.
Ciao, a presto! Alberigo Massucci

Questo post tratto da: P.I.: Il problema non sono le password

Back        Prossimo "Mancante"