Se mai dovessero servire prove ulteriori, eccone una nuova servita: dimostrare che l’anello debole della sicurezza online sia l’elemento umano, è sempre più facile. Lo è perché è ingannabile, lo è perché raramente è informato e attento, lo è perché anche in caso di allarme tende a comportarsi con inerzia e senza le giuste cautele.
Data breach? Allarme ignorato
Da anni è assodato il fatto che le persone utilizzino in media password estremamente banali e semplici da trovare: 123456 resta sempre e comunque ai vertici della classifica delle password più utilizzate. Da anni è inoltre assodato come la password venga cambiata troppo raramente, oppure che si utilizzi la stessa su più servizi (così che al furto di una si mettono a rischio tutti i propri account). Ora una ricerca (pdf) del Security and Privacy Institute (CyLab) della Carnegie Mellon University dimostra come anche a seguito di data breach – e di relativo allarme – l’utenza tende ad ignorare il pericolo e a non cambiare la password in uso. La ricerca è firmata da Sruti Bhagavatula, Lujo Bauer e Apu Kapadia.
Benché la cosa possa apparire paradossale, il dato è del tutto eclatante: sulla base dei dati raccolti dall’analisi del traffico dati di un paniere di utenti partecipanti al test, emerge come solo 1 su 3 cambia password dopo aver avuto avviso di data breach, mentre 2 su 3 tendono ad ignorare (per inerzia? per pigrizia?) la questione lasciando intatta la password e aperte le porte verso i propri dati personali. Ecco perché la comunicazione è importante (benché ignorata) e perché il cambio automatico della password è un passaggio fondamentale per garantire la sicurezza degli account: gli automatismi devono sostituirsi all’uomo se si intende realmente affrontare con serietà il tema della sicurezza.
Coloro i quali cambiano password, lo fanno solo nel 30% dei casi evolvendo verso una combinazione di caratteri più complessa e difficile da identificare; gli altri tendono a mantenere una password di pari difficoltà, senza scalare in termini di qualità della sicurezza posta in essere.