Se vi chiedono di cambiare password, sono incompetenti

3
1272
password

L’ho scritto tempo fa su Facebook, all’ennesimo cambio forzato della password imposto dalla mia banca. Il messaggio ha suscitato qualche reazione di amici e conoscenti, alcuni si sono anche offesi (tra amici e conoscenti ho esperti di sicurezza informatica), ma approfitto di un viaggio in treno, con WiFi che funziona e non funziona, per tornare sull’argomento, perché mi pare che meriti.

Un inciso: per qualche motivo, i siti Internet peggiori del pianeta sono quelli delle banche, che riescono a fare peggio perfino di alcune pubbliche amministrazioni; a eccezione di Fineco e poche altre, direi. Basti dire che la mia banca basa il sistema di firma su quel colabrodo di Java (che secondo quei pazzi dovrei far girare con privilegi di root…).

Il cambio forzato della password, per alcune tipologie di siti Internet, è un obbligo di legge (nota 1); perciò a questa pratica sono costrette anche quelle istituzioni che ne capiscono l’intrinseca stupidità. Prima di proseguire e dire la mia, sulla scorta del precedente dibattito trovo utili alcune premesse. Così chi vorrà replicare, come spero, si potrà concentrare sul merito piuttosto che su aspetti secondari:

  1. chi sono io, e chi sono gli altri interlocutori, è irrilevante. Molti alla mia affermazione “se vi chiedono di cambiare password, sono incompetenti” (certamente provocatoria, non lo nego) mi chiedono chi sia io per parlare così. Non ha alcuna importanza. La validità di una tesi è totalmente slegata da chi se ne fa portavoce. 2+2 fa 4 sia se lo dice Einstein, sia se lo dice Hitler. E viceversa, non farà 5 nemmeno se cerca di convincerci di questo la seducente Jessica Rabbit. Se quello che dico è giusto o sbagliato dovrete deciderlo concentrandovi sui fatti e sugli argomenti, faticando nel processo di valutazione. Non potete usare la scorciatoia dell’autorevolezza, o meno, della fonte. Per la cronaca, e sperando di non suonare noioso, aggiungo che secondo me giudicare sulla base dei fatti piuttosto che su chi li racconta, o peggio sui pregiudizi, è un esercizio utile in quasi tutte le circostanze della vita (magari i più votassero guardando ai fatti piuttosto che alle abitudini o ai pregiudizi);
  2. le polemiche condotte con un po’ di reciproco rispetto e sincera curiosità per quello che dice l’interlocutore sono divertenti e utili. Per favore, criticate le idee, non le persone;
  3. sono un rompipalle, e le frasi concilianti e sfumate proprio non mi vengono. Non penso, ovviamente, che il mondo sia bianco o nero, ma in una discussione penso occorra essere chiari. Inoltre, le affermazioni perentorie sono utili a suscitare una reazione. Se scrivessi “uffa questo cambio password” otterrei dei like da chi come me li trova noiosi e fine, produrrei un chiacchiericcio ancora più irrilevante di queste righe a tempo perso. Perciò perdonate la mia scarsa diplomazia e dite la vostra.

Concluse le premesse, immagino che siete arrivati fin qui perché il tema sicurezza informatica vi pare importante. Lo è. Non solo perché per il digitale passano sempre più cose (dal vostro conto in banca alla “storia fotografica” della vostra famiglia), ma perché i nostri figli e nipoti ci vivono immersi e vi affidano una porzione importante della loro vita, spesso tutt’altro che consapevoli che quello che pubblicano oggi potrebbe saltar fuori tra dieci anni, quando cercheranno un lavoro o si presenteranno a una persona nuova.

Inoltre la sicurezza informatica è una premessa irrinunciabile all’evoluzione sociale degli anni a venire. Un facile esempio sono le cartelle cliniche digitali con allergie, patologie pregresse, ecc. In fase di diagnosi può fare la differenza fra la vita e la morte conoscere immediatamente e facilmente la vostra “storia” clinica. E a questo si arriverà solo con il digitale, e solo se impareremo a gestire i nostri dati in modo sicuro.

Perciò è importante, e a volte addirittura vitale, gestirla bene. E perciò i nostri legislatori hanno ritenuto di intervenire, promulgando leggi ad hoc.

Il problema è che hanno ascoltato il parere di consulenti incompetenti. Ora, alcuni si offenderanno perché sono a loro volta esperti e pensano che il cambio forzato sia una buona idea… No, è troppo. Diciamo piuttosto che alcuni dei miei amici probabilmente si offenderanno perché pensano qualcosa tipo: “meglio che niente”. Ma sbagliano, e per vedere perché, proviamo a esaminare il problema:

  1. la maggior parte degli utenti ha poca familiarità con l’informatica, specie in Italia, che subisce in questo settore un cronico ritardo. Codici, password e quant’altro costituiscono motivo di disagio e diffidenza, e spingono alcuni (non pochi) addirittura a un rifiuto totale;
  2. per contro, smartphone (in Italia diffusissimi) e tablet, più intelligenti e facili da usare dei vecchi PC, stanno avvicinando all’informatica milioni di persone, aprendo opportunità e presentando rischi;
  3. molti (i più) risolvono il problema usando sempre la stessa password (terribile e pericolosissima abitudine), oppure un set limitato (pessima abitudine), oppure un algoritmo (parte della password sempre uguale, parte variabile a seconda del sito, es. aggiungono una “f” se è la password di Facebook, una “t” se è quella di Twitter, e così via. O simili, banali, varianti. Comunque molto pericoloso).

Nelle intenzioni del legislatore, il cambio forzato della password dovrebbe scoraggiare queste cattive abitudini. Ma non è vero, come sappiamo tutti. Al più gli utenti aggiungono un numero sequenziale o una data, tutte cose individuabili molto facilmente. Inoltre, in caso di furto, il legislatore e gli esperti ascoltati hanno ritenuto che il cambio riduca i rischi. Il che è semplicemente surreale. Se vi rubano la password del conto in banca, vi assicuro che i ladri non aspetteranno 3-6 mesi per svuotarvi il conto. Vi deruberanno all’istante. Se invece siete uno di quei pochissimi soggetti che custodiscono segreti delicatissimi, che può essere profittevole spiare magari per qualche mese, e i protocolli di sicurezza che vi proteggono sono basati sul cambio password, siete spacciati. Sappiatelo 🙂

Il cambio password in realtà è solo una perdita di tempo, anzi peggio: vi abitua all’idea che il vostro fornitore di servizi (banca, Internet provider, ecc.) vi possa indurre a inserire utente e password per cambiarli, il tutto su loro – e non vostra – iniziativa.

E’ così evidente che il cambio password è inefficace, che solo una cosa spiega una legge così insensata. Gli esperti che sono stati consultati pensano che siete stupidi. Che siete incapaci di provvedere alla vostra sicurezza e che se non si preoccupano loro di fare qualcosa, qualsiasi cosa o quasi, voi vi suiciderete, informaticamente parlando. E’ il punto nodale, perciò lo chiarisco ulteriormente. Se dovesse capitarvi di assistere a un convegno o a un conciliabolo di esperti di sicurezza, in alcuni (per fortuna non tutti) registrereste un certo disprezzo per gli utenti, che vengono visti come greggi, come animali piuttosto sciocchi che si comportano in base ad abitudini pericolose per loro stessi.

La legge che impone il cambio password è figlia di questo pregiudizio. Quasi tutti gli utenti, è vero, trovano noioso e complicato gestire le password. Ma hanno ragione, perché è effettivamente noioso e complicato. La maggior parte degli utenti risolve il problema con una soluzione semplice ma pericolosa. Ed è innegabile che usare una (o comunque poche) password è pericoloso, ma è ancora più umano e “giusto” cercare soluzioni semplici e gestibili. Nella nostra vita possiamo sopportare una quantità finita di complicazioni; non possiamo essere esperti piloti e meccanici quando ci mettiamo alla guida, cuochi sopraffini e biochimici quando compriamo una passata di pomodoro, ingegneri elettronici quando vogliamo cambiare canale TV.

Ora, il problema è che alcuni esperti di sicurezza disprezzano questo nostro atteggiamento, pensano che sia pigrizia e incapacità di usare bene il computer (non può esserci crimine più grave). Trovano intollerabile che si voglia una soluzione semplice al problema password. Dobbiamo tutti studiare duro, faticare e “meritarci” i vantaggi dell’informatica.

Non può funzionare così, evidentemente. Ho sempre pensato che se un computer è difficile da usare, il problema è nel computer. Se una procedura, come gestire le password, è complicata, il problema sta nella procedura; non negli utenti. Pensare che tutti debbano diventare esperti di tutto, non solo è irrealizzabile, porta a scelte sbagliate.

Specie se una soluzione più pratica, più facile e più sicura c’è. Consiste in applicazioni denominate “password manager”. Sono app per smartphone, tablet e PC che vi consentono di custodire, in una robusta “cassaforte digitale”, tutti i vostri account e relative password. Ma non si limitano a questo. Provvedono anche a fornire per vostro conto i codici di accesso a tutti i vostri siti Internet, conti bancari, carte, ecc. Così non solo non dovete ricordare decine di password, ma non le dovete praticamente mai digitare, il che vi risparmia anche il rischio che qualcuno vi spii mentre lo fate. Inoltre grazie al vostro password manager potete assegnare a ciascun vostro account una password diversa e magari articolata e difficilissima da indovinare. Tanto non dovete inserirla voi, ma il vostro “password manager”. Queste casseforti digitali si possono ulteriormente rafforzare con l’autenticazione a due fattori, e altri sistemi evoluti, che oggi costituiscono il meglio offerto dalla tecnologia.

Ecco, un legislatore ben consigliato dovrebbe fare questo. Imporre a banche e altri siti sensibili di supportare pienamente i password manager. Se ci fosse questo supporto, non solo la vita degli utenti si semplificherebbe moltissimo (la pratica facile e intuitiva di conoscere un’unica password diventerebbe anche sicura), ma si potrebbero introdurre ulteriori barriere protettive, in modo del tutto trasparente per gli utenti, quindi senza complicare loro la vita. Come è giusto che sia, se vogliamo portare alla maturità i servizi online.

Su PC Magazine alcuni interessanti “password manager”: http://www.pcmag.com/article2/0,2817,2407168,00.asp

Nota

Nota 1: Legge 196/03, “Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza”, “Sistema di autenticazione informatica”, punto 5. Vedere http://www.garanteprivacy.it/web/….

  • paolo russo

    Sottoscrivo in pieno quello che scrivi, Marco… beh, magari a parte alcuni giudizi draconiani, non sempre del tutto meritati, secondo me. Ma a volte si.

    Aggiungo due commenti veloci.

    Il password manager è sicuramente un passo avanti ed è utilissimo (io non potrei più farne a meno), ma risolve fino a un certo punto. Ti garantisce la sopravvivenza in una giungla dove ormai personalmente credo di dover gestire ben più di 100 password. Ma vivere è cosa diversa da sopravvivere. I password manager non arrivano dappertutto: io penso con terrore all’arrivo dei frigoriferi “intelligenti” che richiederanno ulteriori credenziali per potersi collegare ai tuoi calendari online. Tremo all’idea di uno “smart wc”, dove dovrò almeno inserire un pin per poterlo aprire. Spero che per quel giorno sarà possibile trovare sul mercato dei corsi di stitichezza perché di sicuro voglio imparare a usarlo il meno possibile. Un password manager ha difficoltà ad aiutarti più di tanto con i device “esterni”. Io spero che ci si muova velocemente verso i controlli di accesso biometrici il più possibile. Probabilmente i tempi e le tecnologie non sono ancora del tutto maturi per farlo. Ciò che mi resta sinceramente incomprensibile è perché la pubblica amministrazione non voglia fare almeno ciò che sarebbe certamente in suo potere per semplificarmi un po’ la vita: un single-sign-on per tutti i suoi siti. Ormai ce l’ha tutto il mondo, ma non la PA. E si che mi aiuterebbe a ridurre la complessità del problema.

    Sfondi una porta aperta quando combatti contro l’elitarismo tecnico. Però non è un problema solo del mondo dell’informatica. Purtroppo, è un malvezzo diffuso in ogni settore, dove ognuno tende a percepire il proprio come l’unico centrale e fondamentale nella vita di tutti. Io non posso dedicare una parte significativa del mio tempo a gestire password o a decifrare aggiornamenti legislativi dal linguaggio incomprensibile o verificare che Google stia rispettando le leggi europee per gli script di profilazione che fa funzionare sul mio sito e così via. È una mentalità che presentava già tanti limiti a fine ‘800, ma nel mondo ipercomplesso di oggi è diventata pura follia. Lotto con tutte le mie forze per mantenere la macchina pubblica quanto più inefficiente possibile, perché il giorno che l’informatica la rendesse davvero perfettamente efficiente (tranquilli, non c’è rischio), finiremmo tutti in galera nel giro di 2 ore.

    • PANTALONE-6

      Vivianmo un eccessivo tecnicismo di cui la maggior parte non si rende conto. Bisognerebbe coniugare sicurezza con semplicita’. Per me il tokrn fisico a chiavetta e’ la oluzione migliorem senza snartphones tra i piedi o tolefonate secure call. Per le password possono pure essete cambiare, ma berti siti rendono la gente nevriotica , maiuscole , miniscole, segni speciali si , no E CHE STRAZIO!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  • PANTALONE-6

    Vero lo stato e affini…..sono i primi truffatori