Andrea Beggi

Run when you can, walk if you have to, crawl if you must; just never give up.

Password: sono ancora adeguate?

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

PadlockLe misure di sicurezza contenute nell’allegato B del Documento Programmatico sulla Sicurezza previsto dalla Legge 675/1996 Decreto legislativo 196/2003 sulla privacy sono diventate obbligatorie da un po’ di tempo. L’allegato descrive le misure operative minime da adottare per la conformità. Tra di esse c’è anche la gestione delle password: esse devono essere alfanumeriche, non riconducibili direttamente all’utente, assolutamente segrete e devono essere sostituite almeno ogni sei mesi. In teoria non le dovrebbe conoscere neppure l’amministratore di rete. Se c’è bisogno di un intervento, la password va resettata e l’operazione va notificata per iscritto al titolare, il quale è tenuto a cambiarla al primo accesso. In molte aziende il DPS è stato semplicemente ignorato, in altre è stato prodotto un documento mai applicato, poche si sono uniformate. E proprio tra queste ultime, tali obblighi hanno portato ad una situazione paradossale: spesso si vedono uffici dove le password sono scritte in bella vista su post-it appiccicati al monitor (“Se no me la dimentico…”).
In molti casi il decreto è talmente restrittivo da essere inapplicabile: ad esempio, ho alcune agenzie marittime tra i miei clienti. Esse ricevono via mail le prenotazioni e le conferme per il noleggio dei contenitori. Si tratta di messaggi assolutamente asettici, contenenti solo acronimi e cifre. Malgrado ciò tali caselle vanno protette come quelle personali, poiché la legge non fa distinzioni. E’ evidente che non sempre la normativa viene applicata alla lettera.
Il decreto non si limita alle password, in realtà: “Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave.”
Il legislatore ci da lo spunto per una riflessione: è ancora valida la password come strumento di protezione delle proprie informazioni?
Altri sistemi sembrano più efficienti: il Bancomat ad esempio. Esso associa qualcosa che so (il PIN è una password) a qualcosa che ho (la tessera). I due componenti devono funzionare assieme, tuttavia la loro efficacia è determinata dalla loro separazione: nessuno scrive il PIN sulla carta stessa.
Ancora più avanzati sono i sistemi biometrici, che accoppiano qualcosa che so a qualcosa che sono (impronte digitali, scansione della retina). Essi sono in grado di associare in maniera univoca i servizi da proteggere, con l’utenza che ha diritto di accesso. (Se mi tagliano un dito o cavano un occhio ho problemi diversi, comunque gravi :-D).
SecurID Dal punto di vista informatico, i sistemi più diffusi che garantiscono una buona sicurezza unita alla praticità d’uso sono i token. Esso vengono usati in genere per l’accesso VPN alla rete aziendale, e cominciano ad essere diffusi per l’home banking. I più comuni funzionano sul principio della “one time timed password”: il dispositivo ha un orologio interno sincronizzato con il sistema al quale si deve accedere, ed ogni pochi secondi fa apparire sul display un codice numerico valido solo in quel momento e solo per una volta. L’utente dove inserire un PIN ed il codice per accedere alla rete.
Quello che è certo è che la password così come la usiamo oggi ha fatto il suo tempo e non è più adeguata a gestire la sicurezza dell’accesso. Tutti le informazioni che per noi hanno valore sono custodite in database, e la protezione di quei dati equivale a proteggere noi stessi. Il futuro si sta delineando, ed anche se non è ancora chiaro cosa useremo, quello che credo è che non sarà solo una password a tenere al sicuro le nostre informazioni riservate.

10 Commenti

PseudoTecnico | #

Andrea, guarda che l’ultima legge sulla privacy è la 196/2003 😉

Andrea | #

Grazie, Pseudo. M’incasino sempre con la burocrazia….

Keper | #

Io penso che in futuro si diffonderanno moltissimo tessere rfid unitamente a password. In sostanza la combinazione bancomat e pin.

Emanuele | #

*nessuno scrive il PIN sulla carta stessa.*

Conosco almeno due fenomeni che lo fanno, adducendo spiegazioni come: “Non penseranno mica che sono così cretino”

Kalman | #

Keper: “Io penso che in futuro si diffonderanno moltissimo tessere rfid unitamente a password”
certo, ma è un po’ difficile in remoto…
In questo scenario sarebbe più probabile un piccolo device tamper resistant in grado di effettuare operazioni crittografiche elementari basate sul meccanismo della public key authentication (i.e.: smartcard).

Isadora | #

Io ho una smartcard (con certificato *e* pin, per via dei diversi sistemi supportati) anche per la vpn. Certo che quelli che si scrivono il pin sulla carta andrebbero decapitati (che sono poi parenti di quelli che scrivono la pwd su un post-it appiccicato sotto alla tastiera…). Un tema molto discusso è quello della biometrica, che però, come dici tu, non è privo di problemi (anche se è più difficile dimenticare a casa un’iride o un dito di una smartcard…); da noi, l’attivazione degli user accounts si svolge per via telefonica e l’identificazione viene fatta su un campione vocale. Se hai il raffreddore è un casino. Insomma, il vero problema, come sempre è l’utente… 🙂

maga | #

si può sapere il prezzo circa dei token?

Simone | #

Utilizzo una smartcard per lavoro, e credo che se ci fosse la “volontà politica” (utilizzo le virgolette perché fa ridere anche me) la via della carta d’identità elettronica sarebbe la via maestra. Una smartcard rilasciata dal comune di residenza con un certificato valido per l’autenticazione e la firma potrebbe essere utilizzato potenzialmente per qualsiasi cosa. A tale certificato si potrebbe associare un conto corrente, una carta di credito, accesso a diversi sistemi con diverse modalità, e tutto con un grado di sicurezza adeguato. Naturalmente, solamente un po’ di “cultura digitale” può risolvere il problema post-it 😉

Fabio Torazza | #

la normativa 196/2003…. è un guazzabuglio…
impone l’aggiornamento degli antivirus ogni n mesi (6?), quando se si ha un antivirus non aggiornato da pochi gioni è come non averlo (anzi peggio perchè ti rallenta e non ti protegge).
per esperienza personale, all’epoca del termine ultimo di entrata in vigore (essendo in Italia, l’ottemperanza agli obblighi della normativa è stata fatta slittare n volte e per anni) ci fu un gran trambusto e affanno da parte di ditte/aziende/studi… per adempiere gli obblighi…
proliferavano “consulenti della privacy” che si facevano pagare a peso d’oro dps generici precompilati scaricati da qualche sito e compilati alla “come viene”.
La normativa prevede che
ad ogni nuovo assunto incaricato “al trattamento” dei dati ad ogni minima modifica all’infrastruttura di rete (computer, antivirus , router , firewall, nuovi programmi… qsiasi cosa) il dps vada scrupolosamente aggiornato e integrato.
anche in caso di nessua modifica sulla struttura della rete, del dps va comunque fatto un “refresh”, non ricordo esattamente se ogni 6 mesi o un anno.

mi domando
a- quanti soggetti abbiano ad oggi aggiornato di volta in volta il dps (e quindi abbiano ora un documento che rispecchia una fotografia di quanto era anni fa e che ora è completamente diverso e quindi non valido)
b- siccome la risposta alla domanda a la conosco, quanti si ricordino dove hanno posizionato il dps…. documento sì interno, ma che in caso di verifica va tirato fuori ed esibito