Michele PinassiTL;DR Un post dell’Agenzia per la Cybersicurezza Nazionale in merito ad alcuni suggerimenti per la gestione delle password ha lasciato interdetti diversi operatori nel settore della cybersecurity. I motivi sono diversi, dalla scelta della lingua inglese alla mancanza di accenni all’uso di MFA.
Qualche giorno fa il profilo LinkedIn dell’Agenzia per la Cybersicurezza Nazionale ha pubblicato un post per sensibilizzare gli utenti a usare password forti.
Oltre all’antipatica usanza di disattivare i commenti ai contenuti pubblicati da ACN, di cui francamente non riesco a capirne a pieno il motivo, mi chiedo come mai un post divulgativo il cui target è, o presumo sia, l’utente italiano medio sia scritto in inglese. Già su questo se ne potrebbe discutere, visto che la conoscenza della lingua angolosassone non è così diffusa nel nostro paese e soprattutto tra le fasce sociali che meno hanno confidenza con gli strumenti digitali e, quindi, dovrebbero essere il target privilegiato di questa comunicazione.
Andando ai contenuti. mi sento di suggerire l’uso di password di lunghezza ben maggiore di 8 caratteri, arrivando anche a 12 se non 14 o più. Avendo cura non solo di usare simboli e numeri ma, soprattutto, evitare sequenze note (“abcd”, “123456” etc…) e comunque verificare su un dizionario di password comuni che la propria scelta non rientri nell’elenco, neanche con alcune permutazioni più note (es. il punto esclamativo in fondo alla parola, “0” al posto della “o”…). Sconsigliato anche usare informazioni note, come date di nascita o di matrimonio, nomi o cognomi, nomignoli, targhe etc… per il semplice motivo che un attaccante abbastanza motivato potrebbe, attraverso operazioni di OSINT neppure troppo complesse, risalirvi senza troppe difficoltà.
Per continuare con il sempreverde invito a usare credenziali sempre diverse per ogni account attivato, usando un password manager (es. KeePassXC) per la conservazione delle stesse.
Nessun accenno alla misura di sicurezza forse più importante, come l’MFA – l’autenticazione multi fattore – che rappresenza, forte più di una password sicura, una misura di protezione ormai irrinunciabile: tutti dovrebbero attivarla, dove possibile.
Ricordo che l‘MFA si basa sul paradigma “qualcosa che sai” (credenziale), “qualcosa che hai” (es. smartphone), “qualcosa che sei” (es. iride o volto), richiedendo che almeno due di queste tre misure siano soddisfatte per procedere all’autenticazione. Ad esempio, inviando sul numero di cellulare un OTP causale che l’utente deve inserire oppure l’uso di una applicazione TOTP per l’inserimento di un time-based one-time-password.
A cui, di conseguenza, non posso che stigmatizzare l’invito a cambiare spesso la password: negli ultimi anni sono state molte le riflessioni su questo approccio, risultato inutile se non dannoso. Gli utenti, infatti, infastiditi dal dover cambiare periodicamente le credenziali, tenderanno ad adottare stratagemmi (es. aggiunta di un numero progressivo in coda) prevedibili o comunque individuabili, indebolendo la procedura.
Per finire, inoltre, suggerisco vivamente di iscriversi ad un servizio di alert di data breach, come IHaveBeenPwned o Firefox Monitor: cambiare le credenziali solo nel caso si tema possano essere state compromesse!
Non me ne voglia il SMM di ACN, che probabilmente ha semplicemente rimbalzato il post “incriminato” da @CyberSecMonth (twitter.com/CyberSecMonth/status/1675051621057699841), limitandosi ad aggiungere il logo di ACN in basso a destra ma, per riassumere, mi permetto di rielaborare il post originale con i miei suggerimenti:
Hai trovato utile questo articolo?
