23 Maggio 2007 di Daniele Frulla
Cambiare password frequentemente è inutile, se l’utente è lasciato libero di scegliere la password da usare, la semplifica, mentre se dovesse essere fornita dall’alto, il comportamento dell’utente varia. Nonostante le aziende investano tempo e denaro per proteggere le informazioni sensibili, i responsabili non percepiscono seriamente il problema della sicurezza, perchè per molti è solo l’obbligo di dover ottemperare alla Legge sulla Privacy.
Grazie all’ingegneria sociale l’utente rappresenta il punto debole nella catena della sicurezza, ma la sicurezza è soprattutto una questione di formazione, poi ci sono gli aspetti tecnici ed i sistemi complessi. E’ facile e comodo prendersela con l’utente, ma se è costretto a ricordare una decina di password, da cambiare ogni tre mesi, cui si aggiungono il PIN di 2 telefonini, il codice di 3 Bancomat, il codice di apertura dei cancelli di casa, il proprio numero di telefono e quello del cellulare, la RAM del nostro cervello si esaurisce! Il nostro cervello non è un Hard Disk fatto per ricordare dati precisi in maniera digitale per cui un 1 è un 1 ed uno 0 è uno 0. Il nostro cervello è fatto per ricordare in maniera analogica, per cui uno 0 può essere anche una O e l’1 una I o una l! Una maiuscola ed una minuscola sono cose ben diverse per un computer, due facce della stessa medaglia per il nostro cervello!
Per migliorare la sicurezza si dovrebbe pensare ad un triplice livello di protezione attraverso una cosa che si sa (password), una cosa che si ha (smart-card) ed una cosa che si è (impronta digitale o della retina). Oppure usare gli strumenti consolidati, relativamente semplici e non troppo costosi per limitare il numero delle password. Allora si può pensare di usare meccanismi come single sign-on che prevede che la parte client di un sistema venga riconosciuta solo una volta nel corso di una sessione al momento del primo accesso ad una applicazione basata su server: questa abilitazione iniziale offre all’utente la possibilità di accedere a tutti i server a cui il client è autorizzato dall’amministratore, senza quindi bisogno di imputare successivi login.Un sistema basato su Single Sign-On semplifica le operazioni di accesso alle applicazioni, ma non rappresenta il massimo in termini di sicurezza in quanto il passo da singolo punto di accesso (single point of access) e singolo punto di attacco (single point of attack) è breve. Alcune soluzioni prevedono che un Single Sign-On offra sì la possibilità di imputare un solo login per sessione, ma che questo sia autorizzato a partire da sistemi di strong authentication come possono essere i certificati di identità digitale emessi da una Pki, chiave personale di identificazione
Alcune soluzioni prevedono single sign-on, basate anche sui ”token” SecurID, ossia quegli oggettini che visualizzano una password di 6 cifre che cambia tipicamente ogni 60 secondi, da associare ad uno username ed ad un PIN.
Un’alternativa può essere rappresentata dalla creazione di una utility per un diverso tipo di login: ad immagini.
Nella postazione di lavoro vengono mostrate delle piccole anteprime di fotografie, che indicava l’utente senza pero’ avere un nome accanto (login grafico multiutenza); una volta scelta, si proietta l’immagine a tutto schermo e l’utente indica punti prestabiliti in una determinata sequenza, questi vengono trasformati in sequenza numerica, e si ha un login impersonale con password da decine di caratteri che non hanno un senso compiuto. In questo modo l’utente dovrebbe ricordare la propria password, non riuscirebbe ad appuntarla e/o divulgarla agli altri in modo semplice (dovrebbe dare la descrizione dell’immagine e indicare i punti esatti e l’esatta sequenza per il login), e comunque si ottengono delle password abbastanza robuste.
In conclusione la giusta soluzione tecnologica può essere adottata, solo dopo aver individuato le forme organizzative più adatte all’attività e avervi apportato gli eventuali correttivi. Esistono diversi metodi di autenticazione, la cui opportunità è condizionata da diversi fattori quali l’importanza delle informazioni da proteggere, l’usabilità, la scalabilità ed il costo del sistema di autenticazione che si intende implementare. In base al tipo di autenticazione che l’analisi di questi fattori identifica come quella ideale, possono venir realizzate soluzioni che si basano di volta in volta su un semplice sistema di password/user id, su una doppia autenticazione, su sistemi legati al GSM, sui certificati digitali, su metodi di riconoscimento biometrici o su combinazioni di questi sistemi.
Qualunque sia il sistema di autenticazione che si intende adottare, è comunque necessaria a monte della decisione una attenta analisi costi-benefici per individuare la soluzione che meglio coniughi per ciascuna situazione sicurezza, semplicità d’uso, costi di implementazione e di gestione.
Anche un sistema di autenticazione che utilizza sono user id e password può essere adeguato in molti casi, a patto che l’organizzazione che lo utilizza si organizzi implementando una password policy efficace.
Lascia un commento