Ieri leggevo sul blog di un noto giornalista, un suo post in cui esprimeva il suo disagio per l'imposizione da parte dei suoi amministratori di sistema, a suo modo di dire illegittima e liberticida, delle regole per il cambio password.
La sua posizione, sostanzialmente era la seguente: le informazioni che ci sono in quel sistema riguardano me e pertanto sta a me decidere se e come vale la pena di custodirle. Se non voglio usare una password complessa sono affari miei.
Detta così sembra anche una posizione ragionevole, ma non lo è affatto e vi spiego il perchè.
Partiamo da un parallelo comprensibile a chiunque: casa propria. Lascereste entrare chiunque in casa vostra in vostra assenza? No di certo. Casa vostra è il luogo più "intimo" e personale che avete e custodisce la vostra vita privata e le vostre proprietà più personali, pertanto vi adoperate per impedire l'accesso agli sconosciuti. E come fate? Con delle serrature. Ora, va da sè che per casa propria si cerca di adottare gli accorgimenti di sicurezza migliori che ci si può permettere: dal minimo indispensabile come le serrature doppie, sino al massimo disponibile, come i servizi di vigilanza armata, gli allarmi più sofisticati, le blindature ad ogni accesso. E' altrettanto ovvio, però, che per il capanno degli attrezzi da giardino di solito ci si limita ad un chiavistello, al limite con un lucchettino per quando si va via per le ferie...
Tutto questo sembra perfettamente in linea con l'ipotesi iniziale: ho diritto a scegliere io il livello di sicurezza della mia password in funzione di quanto ritengo preziose le informazioni contenute in quel sistema.
Il problema, però, è che di solito non funziona proprio così. Le password sono più simili alla chiave del condominio che non a quella di casa propria. Se io per essere comodo lascio sempre la porta del condominio aperta, è vero che i miei vicini potranno fare affidamento sulle loro porte di casa, ma in ogni caso sto potenzialmente consentendo a persone non autorizzate di accedere ad aree dove non dovrebbero accedere. E quindi gli consento di studiare le porte dei miei vicini di casa con tutta calma. Si capisce meglio ora il senso della questione? Gli amministratori di sistema non sono responsabili SOLO dei vostri dati, epr i quali potete anche sentirvi liberi di non impostare protezione alcuna. Essi sono responsabili ANCHE dei dati degli altri. E per questo non gradiscono che voi usiate password semplici.
Perchè così facendo facilitate moltissimo ai malintenzionati il compito di accedere al sistema per studiare come è fatto e quindi di violarlo per i propri scopi.
Perchè così facendo facilitate moltissimo ai malintenzionati il compito di accedere al sistema per studiare come è fatto e quindi di violarlo per i propri scopi.
Ma veniamo al secondo punto di attenzione: chi accede ai vostri account, siano essi della posta elettronica o siano quelli per scaricarsi il cedolino paga, accede a qualcosa che gli permette di impersonarvi. Importa poco che io del tal giornalista possa sapere quanto guadagna. Quello che importa è che io dal suo cedolino posso ricavare informazioni che mi consentono di ingannare terzi e convincerli di stare interagendo con lui. E questo è molto pericoloso. Tramite il codice fiscale ed una fotocopia falsificata della carta di identità,. io posso comprare una sim card a nome di altri. Il che verrebbe facilmente scoperto, ma nel giro di almeno qualche giorno se non settimana, nel frattempo io potrei telefonare a nome altrui fino al blocco della SIM. Grave? Forse non molto, ma pensate un po': cosa serve per aprire un finanziamento? Credete davvero che un funzionario di una agenzia di periferia che si vede arrivare una ragazza che si presenta come la segretaria del tal famoso giornalista, con una copia della sua busta paga, i dati del conto corrente di accredito e quant'altro necessario, perlomeno non avvii la pratica? Ecco il punto: se anche la cosa non andasse a buon fine, avrete aumentato drammaticamente le probabilità di farlo andare a buon fine. E poi starebbe a voi sostenere le spese per dimostrare che quel finanziamento non lo avevate aperto voi...
Ma non è finita qui: di solito i sistemi per la consultazione delle buste paga danno accesso anche ad altri dati: i dati anagrafici, i dati del coniuge, dei figli, l'eventuale partecipazione a confessioni religiose, partiti politici, eventuali note spese da cui ricavare le abitudini di movimento, ecc..ecc.. Tutte informazioni che si rivelano una fonte preziosa di informazioni per un malintenzionato. Ma voi direte:"si, vabbè, ma molti di noi quelle informazioni le rendono pubbliche sui social networks, capirai che danno può essere".
Nossignori: un cedolino o un CUD originale scaricato dal sistema aziendale vale molto di più della "confessione" online.
Ed infine, veniamo al terzo punto di attenzione: solitamente, chi sceglie password semplici lo fa perchè non vuole intasarsi il cervello con decine di credenziali assurde. Perfetto. Questo fa il paio con la seconda leggerezza caratteristica: quella di usare la stessa password semplice per TUTTI i propri servizi online.
Nella mia esperienza, ho capito che oltre il 70% delle violazioni ad un sistema informatico son partite dall'attacco all'anello più debole della catena: le persone. Bisogna SEMPRE ricordarsi che la debolezza complessiva di un sistema è data dalla debolezza effettiva del suo punto più vulnerabile. E nel caso dei sistemi informatici sono SEMPRE le persone che quei sistemi li usano.
Ma non è finita qui: di solito i sistemi per la consultazione delle buste paga danno accesso anche ad altri dati: i dati anagrafici, i dati del coniuge, dei figli, l'eventuale partecipazione a confessioni religiose, partiti politici, eventuali note spese da cui ricavare le abitudini di movimento, ecc..ecc.. Tutte informazioni che si rivelano una fonte preziosa di informazioni per un malintenzionato. Ma voi direte:"si, vabbè, ma molti di noi quelle informazioni le rendono pubbliche sui social networks, capirai che danno può essere".
Nossignori: un cedolino o un CUD originale scaricato dal sistema aziendale vale molto di più della "confessione" online.
Ed infine, veniamo al terzo punto di attenzione: solitamente, chi sceglie password semplici lo fa perchè non vuole intasarsi il cervello con decine di credenziali assurde. Perfetto. Questo fa il paio con la seconda leggerezza caratteristica: quella di usare la stessa password semplice per TUTTI i propri servizi online.
Nella mia esperienza, ho capito che oltre il 70% delle violazioni ad un sistema informatico son partite dall'attacco all'anello più debole della catena: le persone. Bisogna SEMPRE ricordarsi che la debolezza complessiva di un sistema è data dalla debolezza effettiva del suo punto più vulnerabile. E nel caso dei sistemi informatici sono SEMPRE le persone che quei sistemi li usano.
