La password di Obama

Il buco di Gawker

Ai primi di dicembre il sito americano Gawker è stato hackerato: l’obiettivo dell’attacco pare fosse il database contenente le informazioni riservate degli utenti iscritti. Un brutto colpo per la percezione globale della sicurezza online: non solo perché seguiva da poco il cablegate di Wikileaks — le cui code polemiche occupavano ancora le aperture dei maggiori giornali mondiali — ma soprattutto perché ha provato per l’ennesima volta che un incredibile numero di utenti, pur essendo iscritti ad un sito come Gawker, che ha tra i suoi argomenti principali le tecnologie informatiche, utilizzano la famigerata password 123456 — o una qualche sua variante elementare.

123456 e altre follie

Alla vicenda molti reagirono con un semplice: “Ve lo meritate” che però non aiuta ad archiviare la vicenda come uno spiacevole imprevisto. I dati infatti parlano chiaro: ben 3000 utenti di Gawker usano la password 123456; 2000 usano la stessa parola “password” come codice di sicurezza; e un ultimo migliaio, più fantasiosamente, inserisce i numeri dall’uno all’otto, credendosi probabilmente più coperti dalle due cifre aggiuntive. Ma anche combinazioni come abc123, 11111 o l’immortale qwerty hanno ancora successo. Password-fantasma che è come non avere, le prime vittime di un potenziale attacco informatico.

Imperva, una società specializzata nella protezione di dati online, ha anche pubblicato uno studio al riguardo con le 20 password più utilizzate (e quindi più fragili) e dei validi consigli per crearne una a prova d’attacco. I consigli sono pochi e sempre i soliti: preferire una combinazione di lettere, numeri e simboli e inserire un qualche carattere maiuscolo [PDF].

Obama si muove

Sempre più attività economiche si spostano in Rete. La virtualizzazione del denaro è ormai realtà — specie in USA dove ci sono negozi che non accettano cash — e secondo Slate sta causando un drastico calo della criminalità. Sempre più rapinatori infatti si trovano a rapinare negozi con le casse vuote, i cui guadagni giaciono placidi in qualche database. Prevedibilmente questo calo durerà poco e verrà soppiantato da un ulteriore boom di furti online, ovvero il posto dove le ricchezze globali si stanno trasferendo in toto. I futuri e-mariuoli saranno poi facilitati da quanto detto prima: “svaligiare” un account protetto (?) da codici come “123456” o “password” è una versione facilitata del proverbiale furto delle caramelle ai bambini.

Il governo statunitense si sta muovendo. L’amministrazione Obama ha avviato da poco una serie di rapporti con le aziende della Sylicon Valley specializzate nella difesa della privacy online: il progetto non è un’ente statale à la big governement (quel genere di cose che fa arrabbiare il Tea Party), piuttosto l’offerta statale di collaborare con società private, che comunque ne sarebbero gli unici gestori.

Il Segretario al Commercio Gary Locke e il cyberguru di Obama Howard Schimdt spiega chiaramente l’intenzione e le preoccupazione della Casa Bianca:

Non stiamo parlando di un carta d’identità nazionale, non stiamo parlando di un sistema controllato dal Governo, bensì di un miglioramente della sicurezza online per ridurre il bisogno di ricordarsi una dozzina di password differenti.

Il Governo Federale seguirà la costruzione di questa infrastrutture nella veste dell’organizzatore, interessato soprattutto al risvolto economico positivo che una maggiore privacy online potrebbe dare all’e-commerce, evitata da molti proprio per motivi di sicurezza.

La proposta

Da quel che è trapelato nelle dichiarazioni di Locke e soprattutto da un paper dal Dipartimento di Sicurezza Interna degli Stati Uniti [PDF], l’idea è quella di creare un “ecosistema di identità fidate” formato da providers sicuri tramite i quali connettersi ad una vasta serie di siti certificati, “inclusi quelli che gestiscono i dati sensibili utilizzando un solo login”. Come spiega il New York Times, tale sistema “dovrebbe essere l’equivalente hi-tech della chiave tradizionale, dell’impronta digitale e una carta d’identità, tutto in uno”.

Un qualcosa di simile a quello che Google, Microsoft e Facebook (con Facebook Connect) offrono già ai loro utenti: attraverso il login ad uno di questi provider è possibile attraversare altre pagine web senza che le informazioni riguardanti la tua password — nel caso di Google — siano scoperte. O il già citato Facebook Connect, che permette agli utenti di utilizzare i maggiori strumenti del social network su qualsiasi altra pagina web.

Rimane il dubbio che anche questa iniziativa non sia abbastanza: too little, too late, come dicono gli americani. E che sia l’ennesima mossa atta a fomentare l’idea che sia necessaria una sorta di “patente per Internet”, come spiega Lauren Weinstein direttrice di Privacy Journal. Infatti, che l’iniziativa sia pubblica o privata, comporta comunque un fatto che non può essere taciuto: chi sarà l’ente ad avere il monopolio delle informazioni e modalità d’accesso al web?

Che sia privato (una qualche azienda della Sylicon Valley) o pubblico (il governo degli Stati Uniti), una cosa è certa: tale mole di dati la doterebbero di un potere incredibile e inedito. Un rischio che non possiamo correre e che vale la pena scampare accettando una rete meno sicura di quel che potrebbe essere.

Nel frattempo c’è una cosa che potete fare subito: se una delle vostre password è 123456, cambiatela. È un valido inizio.

Add to FacebookAdd to DiggAdd to Del.icio.usAdd to StumbleuponAdd to RedditAdd to BlinklistAdd to TwitterAdd to TechnoratiAdd to Yahoo BuzzAdd to Newsvine

Lascia un commento

Archiviato in web

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...