Roma – Prendo spunto da una considerazione riportata nell’ articolo sul telelavoro . Viene considerato come rischioso il fatto che le persone utilizzino la stessa password per accedere a servizi differenti su Internet (e non). È assolutamente vero che questo comportamento è una seria minaccia alla sicurezza, sia per quanto riguarda l’accesso ai dati che per le responsabilità attribuibili all’utente.
D’altra parte ritengo assolutamente sbagliato bollare questo comportamento come assurdo: al giorno d’oggi è normale dover gestire decine di password (per l’accesso a vari elaboratori, programmi, caselle di posta, account di assistenza su Internet, e così via). Non è umanamente possibile ricordarsi cosí tante password, soprattutto se non banali, e cambiarle con un’adeguata frequenza.
Il vero problema sta nel fatto che tutte queste password vengono trasferite e memorizzate in chiaro da molti dei sistemi che offrono i servizi a cui accediamo (basti pensare alla posta elettronica, alla webmail, ed all’accesso a siti web protetti).
Chiunque abbia accesso al database di una webmail può ottenere la password in chiaro di chiunque, ed utilizzarla per accedere ad altri servizi. I nomi degli account sono anche facili da indovinare.
Occorre assolutamente passare a meccanismi crittografici non reversibili, in modo da garantire che le password non transitino mai in chiaro, e che non vengano mai memorizzate in chiaro su alcun server.
In aggiunta, l’autenticazione one-time è diventata ormai un must: i sistemi che si ricordano per noi le nostre password sono la dimostrazione che dobbiamo continuamente autenticarci sui più svariati servizi e risorse in Rete.
Ritengo importante che il Garante per la Privacy si muova nella direzione di una legge che obblighi tutti i fornitori di servizi ad implementare meccanismi sicuri per la gestione delle password, in quanto i buoni propositi non possono essere equiparati a garanzie.
Il passo successivo, ma urgente, è il certificato digitale personale, utilizzabile per effettuare one-time-login.
Cordiali saluti
Andrea R.
Gentile Andrea
concordo pressoché su tutto, conosco peraltro diverse persone che vivono di foglietti che ricordano le password più disparate, o che non trovano mai quando serve loro una certa password per un certo servizio: insomma il problema è ampio.
Più che regolamenti ad hoc, a mio avviso all’atto della sottoscrizione di un servizio all’utente dovrebbe essere data notizia di come le sue password verranno gestite, con quale sicurezza e con quale modalità, affinché ciascuno sia libero di scegliere.
Val la pena poi ricordare che ci sono una certa quantità di software, da KeePass Safe a Password Manager passando per Password Guard o Password Corral che facilitano l’archiviazione anche di grandi quantità di password e anche in mobilità.
Ciao, a presto! Alberigo Massucci
Ti potrebbe interessare
28 mar 2006