Il primo giovedì di maggio si celebra una ricorrenza nata nel 2013 per sensibilizzare l’utilizzo consapevole delle password. A distanza di 11 anni dalla sua introduzione proviamo a valutarne la sua attualità 

 

La password è una presenza costante nelle nostre vite moderne. Studio, lavoro, tempo libero, acquisti, gestione domestica e altro sono tutti ambiti che richiedono un’identità digitale ed una password a protezione dei nostri dati personali, ma che, proprio per questo, sono affetti dalle problematiche o dalle difficoltà che questo comporta.  

Oggi, secondo le statistiche, ciascuna persona dovrebbe gestire mediamente un centinaio di password sempre diverse, lunghe, complesse e impossibili da ricordare. Di conseguenza, ognuno di noi si è confezionato una propria password utilizzando parole, frasi, date o informazioni personali e la utilizza ogniqualvolta debba registrarsi ad un nuovo servizio. 

Intel, nel 2013, con l’obiettivo di sensibilizzare la gente ad un uso consapevole delle proprie password, facendo leva su elementi quali la complessità e la frequenza di aggiornamento, instaura una nuova osservanza mondiale denominata “World Password Day”. 

A distanza di un decennio di cambiamento informatico, storico e geopolitico è lecito chiedersi se sia ancora utile proseguire sulla strada della sensibilizzazione o sia arrivato il momento di adottare soluzioni alternative. 

 

INTRODUZIONE 

Pur conoscendone i rischi, sono ancora poche le persone che utilizzano password complesse e le cambiano con frequenza. Nel 2005, L’esperto di sicurezza informatica Mark BURNETT ha suggerito che ogni utente digitale debba avere i propri “password days“, ovvero dei giorni dedicati ad aggiornare le proprie password. L’idea riportata nel suo libro, “Perfect Passwords”, ha ispirato società come Intel, spingendole a creare un’osservanza mondiale, denominata “World Password Day”, che ricorre il primo giovedì di maggio dal 2013. 

L’idea alla base dell’osservanza è di convincere le persone a cambiare con frequenza le password delle e-mail, degli account di social media e, di tutte quelle identità che sono a protezione delle nostre informazioni personali. 

In questo articolo, dopo aver ripercorso brevemente la storia della password, proviamo a riflettere sull’attualità dell’idea alla base del “World Password Day” e su scenari alternativi. 

 

STORIA DELL’AUTENTICAZIONE DIGITALE 

  1. 1961. Al MIT, si sta progettando un nuovo sistema a cui dovranno aver accesso diversi utenti e, per la prima volta, ci si pone il problema di identificare e certificare l’identità del soggetto. Da qui, l’idea di rilasciare una credenziale di accesso (utenza e password) diversa per ogni utente dando vita ai concetti di “autenticazione”. Nonostante tutte le raccomandazioni fornite agli utenti del servizio sull’uso consapevole e sul mantenimento della segretezza della loro credenziale, nello stesso anno, un incauto amministratore produce una stampa delle password di tutti gli utenti e la dimentica alla stampante.
  2. 1978. MORRIS e THOMPSON pubblicano uno studio che dimostra quanto sia più facile indovinare le password attraverso le informazioni personali piuttosto che decifrarle. Due aspetti, che sono validi ancora oggi, sono da sottolineare in questa ricerca: uno tecnico, che identifica nell’uso di una credenziale uno dei problemi principali, ed uno psicologico, il comportamento della mente umana che tende ad utilizzare le informazioni anagrafiche o personali in quanto più semplici da ricordare.

Decennio 1980/90. Si inizia a parlare di soluzioni alternative all’uso della password tradizionale con l’integrazione di una OTP (One Time Password). 

  1. 1986. Si usa per la prima volta di un’autenticazione a più fattori. Serviranno altre 2-3 decadi affinché il modello sia finalmente adottato per erogare servizi per il grande pubblico.
  2. 2013. Su pressione di Intel, si instaura il “World Password Day”. Dal 2013, il primo giovedì di maggio diventa la giornata mondiale per sensibilizzare le persone ad un uso consapevole delle proprie credenziali di accesso.
  3. 2014. La FIDO (Fast IDentity Online) Alliance pubblica la prima versione di una procedura atta a standardizzare l’autenticazione a 2 fattori
  4. 2015. La FIDO (Fast IDentity Online) Alliance aggiorna la procedura (FIDO2) e formalizza, per la prima volta, una procedura che non contempla più la password. Il nuovo modello diventa lo standard per le transazioni bancarie che lo adottano a partire dal marzo

 

QUANTO SONO AL SICURO LE NOSTRE INFORMAZIONI CON LE ATTUALI POLITICHE DELLE PASSWORD  

Quando nel 2013 si instaura il World Password Day, l’obiettivo è di convincere le persone ad utilizzare password complesse e aggiornarle con una certa frequenza. A quei tempi, la raccomandazione è recepita quasi esclusivamente dalle aziende che necessitano di mettere in sicurezza i propri dati. Solo con il passare del tempo e con la proliferazione dei servizi web, lo stesso comportamento viene adottato anche dagli utenti più evoluti. 

Nel frattempo, però, sia la capacità elaborativa a disposizione del pubblico sia le tecniche di hacking si sono evolute in modo esponenziale rendendo vulnerabili, in tempi brevi, soluzioni considerate sicure. Nell’ultimo periodo, abbiamo anche compreso come altri aspetti, quali gli scenari geopolitici (spionaggio fra stati) e di guerra (non fredda), stanno contribuendo alla proliferazione di gruppi di hacker sostenuti direttamente dai governi e che hanno a disposizione risorse economiche e computazionali senza paragoni con il passato. 

Le modalità usate per rubare le password sono molteplici, ma nella maggior parte dei casi fanno leva sull’errore umano. Riepiloghiamo i più utilizzati: 

  • Social engineering: con email o messaggi di phishing si convince l’utente a comunicare la propria password. In pratica, è l’utente che si lascia ingannare dalle tecniche di social engineering e fornisce le password a chi gliele chiede, attraverso per esempio messaggi, e-mail, siti fake (falsi) che dissimulano un sito a noi noto. Oltre al phising e smishing, ultimamente ha preso piede anche il vishing che si attua attraverso chiamate telefoniche (mettendo fretta alle decisioni con messaggi allarmistici) simili a quelle dei call center oppure tecniche come il crypto-scam (con la promessa di facili guadagni) o il romance-scam (promesse d’amore tramiti i siti d’incontri); 
  • User information: molto spesso si utilizzano informazioni personali quali nomi, date di nascita o altri riferimenti che si possono facilmente indovinare o desumere dai social network. A maggior ragione se la vittima è un personaggio noto. Nel 2020, la leggenda racconta che Victor GEVERS, un ethical hacker olandese, impiegò solo 6 tentativi per indovinare la password del profilo twitter di Donald TRUMP. “maga2020!”, ovvero “Make America Great Again 2020”, slogan della campagna elettorale di Trump. 
  • Password reuse: si sfrutta la pessima abitudine degli utenti di riutilizzare la stessa password su servizi diversi. Questo errore rende possibile la tecnica nota come “Credential Stuffing” (riempimento delle credenziali): consiste nell’iniezione automatica di username/password già precedentemente compromesse. Si tratta in pratica di una modalità di attacco che sfrutta l’enorme quantità di data breaches che si sono verificati negli anni e che hanno generato molti database di credenziali rubate, facilmente reperibili nel dark web. 

E laddove le tecniche sopra citate non sono applicabili, si ricorre all’attacco “brute force” (a forza bruta). Utilizzando l’attuale potenza computazionale disponibile al grande pubblico è possibile violare una password, di 8 caratteri composta di numeri, lettere, sia maiuscole sia minuscole, e caratteri speciali, in pochi minuti. 

E allora cosa dobbiamo fare? 

SE DOBBIAMO CONTINUARE AD UTILIZZARE LE PASSWORD … 

Se non abbiamo alternative all’uso della sola password per accedere ai servizi, la cosa migliore che si può fare è quella di affidarci ad un gestore di password o password manager. Esistono diversi tipi di password manager: software da installare su dispositivo locale, web-based o basati su token o device simili.  

Nella scelta, affidatevi al buon senso e non utilizzate il primo che vi viene proposto. Spesso si tratta di una scelta definitiva per cui dedicate tutto il tempo che ritenete necessario. 

Verifica quali tecniche di protezione offre, come si accede, se è condivisibile con altri dispositivi di cui siete in possesso, ecc. 

Infine, se optate per un servizio in cloud, verificate se nel corso del tempo ha subito dei data breach. 

Un password manager salva i dati (password, ma anche numeri di telefono, indirizzi e dati di pagamento delle proprie carte, ecc.) all’interno di una cassaforte (vault) in modalità cifrata. 

L’accesso alla cassaforte avviene con una password (la sola che l’utente deve ricordarsi), una chiave crittografica, o con un’autenticazione a più fattori o MFA (che analizzeremo più avanti nell’articolo). 

Tra le caratteristiche principali che un buon password manager personale deve avere: 

  • Autenticazione multi-fattore. Se partiamo dal presupposto che una password è vulnerabile, si deve evitare di affidare tutte le nostre credenziali ad un sistema a cui si accede con una sola password, specie se in cloud; 
  • Un password generator. Dovendo usare sequenze casuali di caratteri per proteggere al meglio i nostri dati, affidiamoci al password manager. Ogni buon password manager include un sistema configurabile per generare automaticamente una nuova credenziale di accesso. In questo modo, anche l’aggiornamento periodico diventa una formalità; 
  • Disponibilità su dispositivi e piattaforme. Statisticamente, ogni persona utilizza in media più di 3 dispositivi. Disporre di uno strumento, utilizzabile su tutti i dispositivi in nostro possesso diventa fondamentale per evitare di dover condividere una password in chiaro attraverso canali poco sicuri. 

SE INVECE POSSIAMO UTILIZZARE SOLUZIONI ALTERNATIVE … 

Se i servizi a cui ci registriamo consentono di utilizzare soluzioni alternative più sicure rispetto alla password, non abbiate paura ad adottarle. 

Tutte le principali alternative utilizzano un modello a 2 o più fattori. Analizziamo quelle più importanti oggi disponibili sul mercato. 

Autenticazione a più fattori. MFA è l’acronimo di autenticazione multi-fattore o Multi-Factors Authentication. L’autenticazione multi-fattore differisce dalla tradizionale autenticazione user/password in quanto il processo richiede uno o più elementi aggiuntivi di verifica. 

Per qualificarsi come MFA, un processo deve includere più fattori di diversa tipologia. Per chiarire, se un processo richiede un identificativo e due diverse password oppure una password ed un’altra informazione conosciuta dal soggetto per autenticare l’utente, non può qualificarsi come autenticazione multi-fattore. 

Le tipologie di fattori, di cui almeno due devono coesistere all’interno di un processo MFA, sono: 

  • Fattore di conoscenza (something you know). Identifica un elemento conosciuto dall’utente e generalmente fa riferimento alla password; 
  • Fattore di possesso (something you have). identifica un oggetto in possesso dell’utente quale ad esempio un cellulare o un token con cui gestire uno scambio di informazioni; 
  • Fattore biometrico (something you are). Identifica una caratteristica fisica dell’utente quale l’impronta digitale o il riconoscimento visivo. 

La combinazione di due o più fattori diminuisce l’importanza della password all’interno del processo perché, anche se vulnerabile, la sua conoscenza non è sufficiente per completare l’intero processo. Per comprendere meglio, approfondiamo con un esempio 

Innanzitutto, affinché il processo si possa completare, l’utente deve avere preventivamente associato il riferimento di un dispositivo quale il numero di telefono di un dispositivo mobile o la chiave di un token TOPT (Time-based One-time Password – una chiavetta che genera un numero randomico in funzione dell’orario), come quelli rilasciati da alcune banche.  

Fatta questa premessa, la fase di autenticazione prevede un form dove l’utente si identifica inserendo l’identificativo e la password associata (fattore di conoscenza). Dopo aver confermato le credenziali, il processo attiva il successivo passo di verifica, richiedendo l’inserimento di un codice di verifica ricevuto (SMS o mail) o generato dal dispositivo associato (TOTP) (fattore di possesso). 

Introducendo un semplice passo di verifica, si incrementa esponenzialmente il livello di sicurezza dell’intero processo con un impatto minimale nei confronti dell’utente. Inoltre, il modello elimina sia la necessità di utilizzare una password complessa sia la necessità di aggiornala con frequenza perché da sola non consente di completare il processo. 

Nonostante il processo possa sembrare solido ed inattaccabile, l’evoluzione delle tecniche di hacking ha messo in evidenza alcune falle che se opportunamente sfruttate possono consentire l’accesso a malintenzionati. Queste tecniche avanzate sono note come: SMS-based man-in-the-middle attacks, Supply chain attacks, Pass-the-cookie attacks e Server-side forgeries. A differenza delle tecniche utilizzate in precedenza per identificare le password, aumenta il livello di complessità e conoscenza per perpetrare l’attacco, per cui il modello resta preferibile all’uso della sola password. Secondo le stime di Microsoft, nel solo gennaio 2020 sono stati ben 1,2 milioni gli account compromessi ed il 99,9% delle violazioni sarebbe stato evitato utilizzando un’autenticazione a 2 o più fattori. 

FIDO2 o Passwordless. Nel luglio del 2012 viene fondata un’associazione a cui partecipano i principali attori del settore dei pagamenti digitali e del settore di sicurezza informatica denominata FIDO ALLIANCE (Fast Identity Online) con l’intento di promuovere specifiche di autenticazione aperte che possano far a meno della password.  

La prima versione delle specifiche viene rilasciata alla fine del 2014. L’interesse verso il nuovo standard è subito evidente tanto che nel corso del 2015 nasce un programma dedicato anche per le principali agenzie governative a cui partecipano Stati Uniti, Inghilterra, Germania e Australia. 

Nei tre anni che seguono, l’alleanza ed il W3C sviluppano la nuova versione dello standard e le specifiche e il protocollo (WebAuthn) necessari per rendere reale un processo di autenticazione efficace, sicuro e senza password. 

Parlando del modello MFA, abbiamo compreso come da un lato la password, fattore di conoscenza assieme all’identificativo utente, diventa un fattore meno rilevante nell’intero processo e si introduce un nuovo elemento che aumenta l’efficacia del processo, ovvero il dispositivo. 

Le tecniche di attacco perpetrate verso sistemi che fanno uso di MFA, dimostrano come l’attaccante abbia intercettato o rediretto la comunicazione diretta al dispositivo per completare il processo. Quindi, per rendere il processo più sicuro, si rende necessario essere certi del dispositivo verso cui avviene la comunicazione attraverso uno scambio di chiavi crittografiche in fase di registrazione/associazione del dispositivo stesso. 

In fase di associazione, sul dispositivo si crea una coppia di chiavi crittografiche asimmetriche (pubblica e privata) per mettere in sicurezza la comunicazione fra il dispositivo ed il sistema centrale. La fase di associazione si completa condividendo con la controparte la chiave pubblica. In questo modo, si instaura un modello di comunicazione cifrato fra il dispositivo ed il sistema che può essere decifrato solo dal destinatario.  

Approfondiamo come cambia il processo in un’autenticazione passwordless. L’utente deve avere preventivamente registrato il proprio dispositivo ed aver installato un’applicazione di autenticazione sul dispositivo stesso. In questa fase avviene lo scambio delle chiavi pubbliche necessarie per gestire la comunicazione fra il dispositivo e il sistema centrale. 

In fase di autenticazione, il form richiede di identificare il soggetto fornendo semplicemente l’identificativo dell’utente (fattore di conoscenza) e, non più, la password, considerata un elemento ininfluente e ridondante. Dopo aver confermato le credenziali, il processo attiva il passo di verifica, inviando una notifica (attraverso una comunicazione cifrata decifrabile solo dal destinatario) verso il dispositivo dell’utente (fattore di possesso) e richiedendo l’esecuzione di un‘azione, solitamente una conferma di accesso, che può avvenire solo previo lo sblocco del dispositivo stesso con un fattore biometrico. 

Al momento, questo modello è considerato il più sicuro ed è utilizzato per accedere a molti siti di internet banking o per la conferma transazioni finanziarie. 

 

 

MFA, A COSA STARE ATTENTI 

Come detto, il modello MFA è sicuro specie se compatibile con le specifiche FIDO2 ma ci sono degli aspetti critici a cui dobbiamo prestare attenzione. 

Abbiamo visto come il dispositivo sia un elemento centrale del processo per cui cosa succede se lo perdiamo o ce lo rubano? Nel caso di un dispositivo MFA non compatibile con le specifiche FIDO2, chi possiede il dispositivo e le credenziali può accedere ai nostri dati. Avere il dispositivo ma non le credenziali, impedisce comunque al malintenzionato di accedere. 

Nel caso di un dispositivo FIDO2, il livello di sicurezza aumenta perché la sua attivazione necessita anche di un fattore biometrico. 

Il problema è, che senza il dispositivo, neanche noi possiamo accedere ai nostri dati. Inoltre, nel caso di dispositivo FIDO2 anche un semplice cambio del dispositivo deve essere fatto con cautela perché i certificati che governano la comunicazione sono stati generati ed installati sul vecchio dispositivo e non sono portabili. Per cui in caso di perdita o cambio del dispositivo, il processo prevede di de-registrare il vecchio dispositivo e registrare il nuovo. Cosa non sempre semplice e gestibile in autonomia. 

Infine, se scegliete di utilizzare un dispositivo FIDO2 (come una chiavetta USB) come base dati per le vostre password di accesso, abbiate l’accortezza di avere almeno una copia del dispositivo o dei dati. 

 

 

COSA CI RISERVA IL FUTURO 

Allo studio ci sono nuove soluzioni che promettono di semplificarci ulteriormente l’esperienza utente quali il modello loginless su cui sta lavorando Okta Inc., uno dei più importanti vendor di settore. 

I presupposti si rivelano molto interessanti da un punto di vista tecnico. Il modello prevede di identificare il soggetto in base al suo comportamento e ad un fattore biometrico (riconoscimento visivo, impronta digitale, ecc.). Quando il comportamento del soggetto non riflette il modello, scatta la richiesta di un ulteriore elemento tipicamente relativo ad un fattore di conoscenza. 

Personalmente ritengo l’approccio in linea con i tempi ma inquietante per due motivi. In primo luogo, significa che il vendor, che già eroga il sistema di autenticazione, aggiungerebbe, ad una serie di attributi qualificanti dell’utente, un modello di comportamento individuabile da un algoritmo sulla base di una serie di informazioni atte a definire l’individuo stesso ed il suo modo di agire. 

In secondo luogo, m’inquieta la motivazione che ha spinto qualcuno ad identificare una strada simile come perseguibile. Se qualcuno è in grado di identificarci attraverso il nostro comportamento quotidiano, significa che l’intera nostra vita è diventata uno schema prevedibile e classificabile. Attenzione a confondere il comportamento quotidiano con l’operatività all’interno di una rete o di un sistema, cosa che già fanno molti sistemi di analisi comportamentali per garantire la sicurezza dei dati. Qui si sta andando ben oltre. 

 

CONCLUSIONI 

La nostra vita si svolge sempre più in rete, forse anche troppo. La prima cosa di cui ci preoccupiamo quando visitiamo un posto nuovo è la velocità della connessione più che le bellezze del luogo. Che ci piaccia o meno, oggi non possiamo accettare di non essere connessi ad internet e di usufruire dei servizi che ci offre. 

Siamo come dei bambini che imparano a giocare senza leggere le istruzioni. E come i bambini ci interessa giocare senza pensare che potremmo farci male. Potremmo affermare che siamo tornati all’inizio del secolo scorso quando l’analfabetismo dilagava ed era importante conoscere lo stretto necessario per sopravvivere. 

Oggi la password è vista come un male necessario senza considerare che è l’unico strumento che protegge i nostri dati e la nostra privacy. Il nostro interesse è di semplificarci e nessuno sembra rendersi conto che la password ha fatto il suo tempo. Il livello di sicurezza garantito da una password, non è più adeguato al mondo digitale in cui viviamo e lo sarà sempre meno.  

Il primo passo è quello di avere una cultura digitale. Non serve essere assimilabili a dei “laureati” in processi di autenticazione, ma disporre di una conoscenza delle tematiche, anche in modo generale, per essere coscienti dei pericoli a cui prestare attenzione. Ricordiamo che il primo punto debole dell’intero processo è l’utente con il suo comportamento dettato spesso dall’inesperienza o dalla mancanza di conoscenza. 

Infine, se abbiamo a cuore la sicurezza dei nostri dati è tempo che adottiamo modelli di autenticazione più efficaci. E, se i servizi che ci vengono offerti non supportano i nuovi standard, valutiamo se sia effettivamente utile condividere i nostri dati con coloro che non ci forniscono adeguate garanzie.  

Giusto quindi osservare il “World Password Day”? Il mio pensiero è che sia giunto il momento di aggiornare gli obiettivi e di conseguenza il nome dell’osservanza inWorld Digital Culture Day” per promuovere e diffondere la competenza digitale e rendere le persone coscienti del rischio e del pericolo a cui sono esposti con il loro incauto o inconsapevole comportamento. 

Mauro Bossi
Digital Identity Business Line, Innovery