pwd
Password, ecco perchè non servono piu'.
Post di EaglesEyes86 su smanettando, 18\12\2012, h. 17.09.

Di Antonino Caffo.

Hacker, criminali e truffatori possono rubarle quando vogliono. Ha ancora senso utilizzarle?

Password, ecco perché non servono più. Il numero di persone capaci di hackerare un account è in 
continuo aumento.

Oramai dovreste conoscere la storia di Mat Honan, il giornalista di Wired USA che è stato vittima 
di un furto di password e identità da parte di alcuni hacker. Mat si è accorto della violazione 
dopo aver visto la sua carta di credito, associata all'account Apple, prosciugarsi nel giro di 
poco. La sorpresa del giornalista, pur esperto di questi temi, non è stata tanto il vedersi 
l'account violato, cosa che può succedere a chiunque, quanto la comprensione del livello di 
interconnessioni create dopo qualche anno di utilizzo del web, soprattutto di quello social. 
Pensate cheMat Honan utilizzava password diverse per ogni suo account. I profili Facebook, Twitter, 
Gmail e Apple erano protetti con password robuste, anche di 10 e 19 caratteri, combinazioni di 
lettere, numeri e simboli. Ma il cosiddetto social engineering ha permesso agli hacker di chiudere 
il cerchio e scovarne alcune con i giusti strumenti e un po' di intuito.

Le nostre vite digitali sono davvero così facili da decifrare? Immaginiamo di voler entrare 
nell'account email di un'altra persona. Qualsiasi provider che fornisce servizi di posta 
elettronica permette sul proprio sito di recuperare la password dimenticata. Tutto quello di cui si 
ha bisogno è sapere il nome di battesimo, la città nelle quale si è nati e altre informazioni che 
non sarà complicato recuperare sul web. Poniamo il caso che ci sia una domanda segreta alla quale 
rispondere e che il quesito sia "qual è il nome del tuo animale domestico" oppure "della tua 
fidanzata" o anche "il cognome di tua madre da nubile". Si tratta di domande che sono realmente 
presenti in quelle predefinite e alle quali, con un minimo sforzo, si può rispondere spulciando per 
bene i social network. Anche voi che leggete siete sicuri di non aver mai menzionato il nome del 
vostro cane o del vostro videogame preferito su Facebook piuttosto che della città preferita e di 
dove andate in vacanza? Tutti questi elementi messi assieme sono una chiave che apre l'universo 
informatico di una gran parte delle persone che utilizzano Internet.

E' ovvio che il social engineering non può sempre bastare. Ci sono software capaci di scovare le 
password che utilizzate per i vostri siti preferiti, semplicemente lanciando un file eseguibile che 
lavora in background da far partire direttamente sul computer della vittima o da remoto (tramite 
virus). La sensazione è che le password siano oramai vecchie, appartenenti ad un'altra era.

"Mat Honan presenta il problema chiamandolo tecnico. Ma a dire che la password non vi protegge più 
perché gli hacker utilizzano l'ingegneria sociale è come affermare che la porta blindata non basta 
perché i ladri entrano dalla finestra che lasciate aperta. Il problema non è quindi la porta ma la 
mancanza di abitudine a chiudere la finestra e le tapparelle" - ci spiega Michael Tabolsky esperto 
di sicurezza sociale.

Il problema di sicurezza riscontrato dal giornalista di Wired è quindi un dato di fatto nel mondo 
odierno di internet e di tutti i servizi digitalizzati.

Quello su cui si può discutere è semmai altro: le nostre vite digitali sono tutte interessanti per 
i criminali informatici allo stesso modo? Evidentemente no e, riprendendo la metafora di Tabolsky, 
si potrebbe dire che anche i topi d'appartamento scelgono bene le loro vittime prima di colpire. 
"Per cui mi sembra più corretto dire - secondo l'esperto moldavo - che l'attacco subito da Mat 
Honan sia stato ben indirizzato, per così dire targettizzato, quasi sempre per guadagnarci 
qualcosa, non solo denaro". Colpire un giornalista di Wired fa molto più rumore che violare gli 
account di un comune impiegato italiano o di una casalinga, seppur utilizzino piattaforme di home 
banking particolarmente a rischio hacker. Questo vuol dire che tutte le persone che vivono 
tranquillamente la loro vita senza essere personaggi di rilievo sono al sicuro?

La risposta è no perché il numero di persone capaci di hackerare un profilo web (conosciute come 
skilled) sono in aumento e volenterose di farsi conoscere.

"Bisogna educare gli utenti che tutto quello che caricano sul web non è più sotto controllo, esce 
dalla sfera del privato anche se si tratta di informazioni personali" - continua Tabolsky. Allora 
quello che ci chiediamo è se ha ancora senso utilizzare un solo strumento, ovvero un indirizzo di 
posta elettronica, per controllare i nostri accessi personali al web. Password ed email risultano 
così, alla luce di tutte le centinaia di violazioni che accadano ogni giorno, metodi non più adatti 
a proteggerci online. "Magari una password di 256 caratteri esadecimali potrebbe bastare - ricorda 
Mat Honan - ma con molta probabilità non la ricorderete mai".

Sicurezza o semplicità di utilizzo quindi? Abbiamo chiesto a Michael Tabolsky se secondo lui c'è 
già qualcos'altro al di là dell'orizzonte delle password:

"Assolutamente si. La soluzione non è molto vicina ma i sistemi biometrici andranno a sostituire 
quelli basati su input di una combinazione di simboli.

Anche in quel caso ci sarà bisogno di educare le persone a utilizzare bene le protezioni che 
arriveranno, altrimenti saremo punto e a capo. Complicare non sempre vuol dire aumentare la 
sicurezza se poi gli utenti non sanno come utilizzare gli strumenti a disposizione. Per 
approfondire i temi legati al social engineering potrebbe essere utile la lettura di un libro di 
Bruce Schneier dal titolo "Liars and Outliers" che si occupa proprio di sicurezza informatica al 
tempo dei social media.

Antonino Caffo.