Le password sicure

 

password_strength Fonte immagine: xkcd

Tutta la sicurezza e’ davvero esclusivamente in mano agli utenti che scelgono la password sbagliata?

Ancora una volta consigli sull’ utilizzare password sicure. Ma come si definisce se una password e’ sicura? un metodo potrebbe essere quello di utilizzare uno dei vari “password meter” disponibili, come questo o quest’ altro, ma alla fine credo che la sicurezza di un applicazione possa essere gestita bene solo se gli utenti e chi progetta le applicazioni collaborano.

E’ inutile e a volte dannoso imporre vincoli assurdi agli utenti che devono utilizzare le nostre applicazioni. Inoltre credo non sia neanche giusto. Non puo’ essere compito degli utenti gestire la sicurezza della nostra applicazione.

Quindi, se obblighiamo il nostro utente a creare ogni 30 giorni una password di 30 caratteri che utilizzi almeno un carattere di punteggiatura ecc…, e magari diverse per ogni servizio che offriamo, forse stiamo sbagliando qualcosa. E non potremo certo lamentarci se la sua scelta per gestire la propria password sara’ di:

  • Scriverla su un foglio e attaccarlo sul monitor (abbastanza sicuro)
  • Scriverla su un foglio e metterlo nel cassetto (piu’ sicuro)
  • Scriverla su un foglio e metterlo nel casseto chiuso a chiave (ancora piu’ sicuro)
  • Creare un sistema logico per ricordarsela come “SIALuglio2015”, “SIAAgosto2015”, ecc… (inviolabile)

E’ vero che e’ piu’ “faticoso” e “rischioso” creare un sistema che ad esempio verifichi che un utente non effettui troppi tentativi di accesso in un determinato lasso di tempo o da troppi dispositivi diversi, ma e’ sicuramente un ottimo inizio e a quel punto potremo chiedere un po’ di collaborazione ai nostri utenti perche’ modifichino la propria password se ritengono che possa essere compromessa e evitino di scegliere password stupide come “1234” o “password” o “batman” (???). Per evitarlo, nel momento in cui l’ utente manifesta l’ intenzione di cambiare la password, possiamo suggerirne una valida generata tramite servizi come make a good password.

Fatto questo, salvaguardiamo i nostri utenti memorizzando le password nei database con adeguati sistemi di cifratura che, nel caso il nostro database finisse in mani sbagliate, non consentirebbero di risalire alla password in chiaro in quanto, a discrezione dell’ utente, potrebbe essere usata in piu’ applicazioni.