Open in app

Sign in

Write

Sign in

Perchè cambiare spesso la password non è più una buona idea, anzi forse non lo è mai stata — di G. Ianni

Agelin Bee
Barricate contro la Gonzità
Published in
7 min readJul 16, 2022

Ciao letto’,

ho deciso di scrivere questo articolo spinto da situazioni drammatiche di cui sono stato testimone.

Ho visto anziani, imparentati e non, che “scusi ma le è scaduto lo SPID, le serve un password regniùwal” — “Lo SPICHE’? Gniù COSA? Ma mammt non ti ha insegnato l’italiano?”.

Ho visto gente più giovane al ristorante. “Oh no scusi non si apre il green pass qui dice che devo cambiare la password, ah che bello, aspetti che supero questa avvincente prova a ostacoli e torno da lei. Giusto qualche minuto.”

Ho seguito con lo sguardo quel ragazzo sedersi, con la sua fidanzata, su un divanetto per poi rimanere assorto sul cellulare per svariati minuti. Non l’ho più visto da allora e non posso escludere che sia stato risucchiato nel metaverso. [Lettò non ti dimenticare di scrivermi nei commenti che il tizio in questione poteva conservarsi lo screenshot del green pass da qualche parte, senza usare l’app IO e senza usare SPID].

Dunque. Ha davvero senso continuare a imporre i noiosi cambi di password a intervalli regolari?

E quei furboni che cambiano la password aggiungendo solo un puntino alla fine, meritano davvero di essere puniti, magari costringendoli a mettere una password nuova del tutto originale e diversa dalla precedente?

Dover cambiare la password è solo uno scomodo male necessario?

O addirittura, non è che magari il cambio password non mitiga affatto i rischi da sottrazione di password, anzi li aumenta?

Se vi ho incuriosito abbastanza, vi svelerò la risposta tra cinquemila caratteri circa. Letto’ non saltare subito alla fine che poi senza i preamboli non ci capisci niente, io ti ho avvertito.

Prima di rispondere alle domande, comincio col dirvi che imporre una data di scadenza alle password è un’inutilità ormai riconosciuta come tale dalla comunità industriale e scientifica che si occupa di sicurezza informatica.

Bruce Schneier, esperto di sicurezza informatica diciottomila volte più bravo di me, tuona contro questa pratica da almeno un lustro. La pubblica amministrazione statunitense non suggerisce più di mettere una scadenza sulla password nel suo avvincente documento NIST SP800–63b password guidance.

I britannici non chiedono più oppressivi rinnovi password nell’esteso documento “Password administration for system owners” pubblicato dal loro centro nazionale per la sicurezza informatica; le famose linee guida CCIS, una raccolta di buone prassi di sicurezza digitale ritenuta piuttosto autorevole, nella loro versione 8, dicono che “la password all’utonto fagliela cambiare solo in caso di eventi specifici, tipo il furto, e se proprio devi, ma se proprio devi, se proprio questo prurito non riesci a togliertelo, una volta l’anno”.

[Letto’, però ringraziami di tutte queste epiche letture serali che ti suggerisco. Pensa se tu dovessi cercarti da solo qualcosa che ti rapisca a tal punto da non vedere l’ora di leggere bulimicamente il capitolo successivo. Quanto tempo perderesti, più di quando scegli la serie Netflix la sera].

Perchè invece in Italia siamo ancora oppressi dal cambio password? Alla radice di questo c’è una generale lentezza nel recepire la novità culturali nell’ambito della sicurezza informatica.

Trovate ancora il web italiano stracolmo di documenti che suggeriscono di imporre una scadenza alle password, ad esempio il nostro commissariato di PS online.

Ma soprattutto, le nostre linee guida AGID. Le linee guida AGID, altra appassionante lettura da ombrellone che vi consiglio, nella loro ultima versione del 2017, suggeriscono alle pubbliche amministrazioni italiane che le credenziali di accesso (le password letto’) debbano essere sostituite con frequenza, come le mutande.

Le stesse linee guida dicono anche che si deve impedire all’utonto di impostare una password simile alle precedenti. Si tratta evidentemente di un documento scientificamente desueto, e c’è un motivo, queste linee guida italiane sono basate sulle vecchie CCIS 6.0, che intanto sono andate avanti, e come dicevo sopra, sono arrivate alla versione 8.0.

[“desueto” vuol dire “caduto in disuso” ma più professoronale letto’].

E ora ti spiego perchè gli esperti sono ormai piuttosto convinti che il prezzo da pagare in termini di aumentata farraginosità digitale non vale assolutamente il presunto beneficio in termini di aumentata sicurezza. Intendo, allorquando si impone un cambio password periodico al popolo utonto, si impone a quest’ultimo un intralcio, una complicazione inutile e spesso inopportuna.

Cambiare le password spesso dunque non serve o serve a poco. Perchè? La risposta va dato esaminando varie sfaccettature.

Sfaccettatura n.1. Pensare di imporre il cambio password agli utonti va nella direzione di “voler aggiustare l’utonto” come se fosse lui il problema.

Come se fosse lui lo sporcaccione che non placa periodicamente gli dei cambiando la password. Secondo questa religione dell’ ”Aggiusta l’utonto”, costui deve essere educato a sacrificare i propri caproni domenicali al Divino Algoritmo, deve obbedire a regole che non comprende, e cliccare consapevolmente a messaggi che dicono “Il tuo certificato SHA1 è insicuro” anche se per lui queste cose vogliono solo dire “Ciao! Sono un’altro messaggio in rosso che ti tiene lontano un clic in più da quello che volevi fare!”

Se volete, questo è un altro caso di “colpevolizza la vittima che girava in minigonna”, mentre invece si potrebbe focalizzare l’attenzione sulla progettazione di sistemi più sicuri, a prova di utonto, che senza per questo devono essere inusabili.

Già, perchè è una falsa dicotomia accertata la contrapposizione tra sicurezza e usabilità. [Per dicotocosa si intende la contrapposizione tra due cose separate e distinte letto’. Solo più professoronale]. Esistono sistemi informatici sicuri che al tempo stesso non impongono dazi, noie e messaggi incomprensibili agli utonti. Basta sapere progettare questi sistemi o almeno sforzarsi di farlo.

Sfaccettatura n.2. La logica del cambio password frequente nasce dall’idea di ridurre il più possibile la finestra temporale in cui un hacker si ritrovava nelle condizioni di potere usare una credenziale non autorizzata.

Negli anni ’90 un hacker poteva entrare e uscire indisturbato da un sistema anche per anni, se in possesso di una password senza scadenza, anche perchè virtualmente nessun sistema era coperto da sistemi di sicurezza o rilevatori di indicatori di compromissione.

[Sto parlando di alcuni cosi che se uno accede impropriamente a un sito e prova a fare una modifica, allora zumpano subito tutte le spie rosse e suona l’allarme potente che ti assorda, lettò].

Oggi abbiamo vari modi per segnalare gli accessi indesiderati appena questi avvengono. Ci sono le notifiche via telefonino, mail, whatsapp, telegram, sms. Inoltre, la stragrande maggioranza dei furti di password vengono comunque sfruttati quasi subito, ben prima dei 60–90 giorni che oggi imponiamo come durata delle password.

Se ci pensi letto’, tu non cambi la serratura di casa ogni mese. Forse è meglio un allarme buono che ti informa subito e un cambio di serratura solo in caso di evidente sospetto di furto della chiave stessa.

Sfaccettatura n.3. Gli utonti, se costretti a cambiare le password troppo spesso, cominciano a mettere password ciote, aggiungono un puntino in fondo alla vecchia password, cambiano un 3 in un 4, o anche, si sentono forzati a usare la stessa password e la stessa strategia di aggiunta puntino in tutti i luoghi e in tutti i laghi in cui hanno un nome utente e una password. Chi è senza puntino scagli la prima pietra.

Mi preme dirti, letto’, che certi sistemi cercano di evitare questo impedendo di riusare le cinque password precedenti. Questa è una pezza fragorosamente peggiore del buco: si tratta prima di tutto di un’altra misura volta a cercare di “aggiustare l’utonto” e non il sistema, creando soltanto ulteriori impicci e “tanta voglia di mettere pippo1234”. [Visto letto’ che so la tua password? Non te lo dico come faccio a saperla].

Mi sembra chiaro che nella logica di voler insegnare all’uomo a funzionare come una chiavetta OTP, capace di generare sempre e comunque un codice nuovo e totalmente diverso, c’è qualcosa che non va.

Ma non solo. Un sistema che voglia impedirti di riusare le cinque password precedenti, deve ricordarsele tutte e cinque per poter fare il confronto con la nuova password. E questo significa che il sistema stesso conserva le impronte crittografiche irreversibili di tutte le password precedenti.

Questo se va bene, perchè spesso il fatto che un sistema pretenda di verificare non solo l’uguaglianza, ma anche la similitudine con le password precedenti, tradisce il disastroso fatto che le password degli utonti sono memorizzate IN CHIARO o al più con una maldestra crittografia reversibile [quest’ultima è virtualmente come se non ci fosse nella stragrande maggioranza degli attacchi da remoto, non sto a tediarti sul perchè].

Tenere le password memorizzate in chiaro, oggi, nel 2022, non rappresenta una pezza a un buco, ma una VORAGINE aperta sul Sottosopra.

[Bonus informescion: altro indicatore del catastrofico fatto che il tuo servizio di fiducia manutiene le password in chiaro senza usare delle impronte crittografiche irreversibili è quando esegui una operazione di password dimenticata e il sito ti manda IN CHIARO la tua password per email. Nessuno oggi dovrebbe conoscere o tenere memorizzate le tue credenziali in chiaro, neanche i siti che devono verificare la corrispondenza con la password che tu inserisci. Non serve!]

Sfaccettatura n.4. La sfaccettatura numero 4 è legata al fatto che tra i vari modi con cui si può rubare una password c’è l’attacco a dizionario. In sostanza, dei bot equipaggiati con enormi dizionari di potenziali password, si mettono a provarle tutte, spesso facendo “Tombola!” in pochi secondi. E’ per questo l’umanità tutta si auto-rompe le scatole con “non mettere 1234 e pippo”. Perchè queste parole base compaiono sempre, dico sempre, in questi dizionari usati per forzare le tue credenziali di accesso.

Un attacco a dizionario è destinato a fallire se la tua password non cade nel dizionario dell’attaccante. Immagina ora uno scenario in cui un pazzo paranoide ci costringa tutti a cambiare password una volta al giorno.

Semplificando molto il ragionamento, si intuisce comunque che lo stesso dizionario di prima avrà adesso 364 chance in più, in un anno, di contenere almeno una delle 365 password che l’utonto rassegnato avrà dovuto impostare. Più biglietti della lotteria per gli hacker. Evviva!

Sfaccettatura n.5. No basta.

In succo, molte organizzazioni hanno già capito che il cambio password forzoso aggiunge farraginosità inaccettabili ai sistemi informatici del ventunesimo secolo e non mitiga sostanzialmente nessun rischio di intrusione nei sistemi informatici.

Se non ti ho convinto di questo letto’, portami un qualsiasi hackerone amico tuo, un Lo-Hacker qualsiasi che abbia da raccontare anche un solo episodio, non più vecchio di dieci anni, in cui non sia riuscito a penetrare in un sistema perchè “oh cavolo, Ciccino98 ha appena cambiato la password!”.

E ti offro una cena. Dicono un gran bene dei miei piatti.

FOTO — Nome utente: utente. Password: utente.

Barricate
Gonzita
Passwords

--

--

Agelin Bee
Barricate contro la Gonzità

Written by Agelin Bee

44 Followers
Editor for

In vita analogica, fa Intelligenza Artificiale in una ignota università della Bassa Terronia Settentrionale. In vita digitale si occupa di Stupidità Naturale.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams