Le password? Non cambiatele troppo spesso

Dopo anni di inviti a modificare spesso le password, nuove ricerche sui nostri comportamenti informatici suggeriscono che forse non era una buona idea.

Spesso capita, e a molti: arrivate in ufficio, accendete il computer e compare un messaggio che avverte che la password è “scaduta” e dovete inventarne una nuova. Capita al lavoro, con la banca, con la casella di posta… Tutto in nome della sicurezza, per tenere alla larga gli intrusi.

Adesso però c’è chi pensa che questa strategia, oltre a essere molto fastidiosa (opinione condivisibile), potrebbe essere pure inutile. In qualche caso, persino dannosa. Lo sostiene Lorrie Cranor, ricercatrice della Carnegie Mellon University e specialista in sicurezza informatica. «Ciò che poteva apparire vero dieci anni fa», afferma Cranor, «potrebbe non esserlo più oggi, alla luce di nuove ricerche».

UNA PASSWORD PER TUTTO? Le ricerche a cui fa riferimento Cranor suggeriscono che la maggior parte di coloro che vengono troppo spesso invitati a cambiare password, sono talmente infastiditi che, per liberarsi nel modo più veloce (e meno faticoso) da questa seccatura, si limitano a “ritoccare” la vecchia con una serie di “trucchi”, così semplici e ricorrenti, da fare la felicità dei pirati informatici.

C’è per esempio chi inverte la parte letterale con quella numerica (Mario2016 che diventa 2016Mario) e chi, i numeri, li incrementa a ogni “aggiornamento” (da pippo72 a pippo73); qualcuno sostituisce le lettere con i numeri graficamente più simili (Pippo con P1pp0), altri inseriscono all’interno della password date significative (per esempio, quella in cui la nuova password scadrà). Se a tutto questo si aggiunge che, vuoi per noia, vuoi per pigrizia, molti di noi tendono a “riciclare” la stessa password per diversi servizi (mail, banca online, computer del lavoro eccetera), non è difficile immaginare il pericolo di un “effetto domino” nel caso in cui qualcuno riuscisse a scoprirla.

CI SARÀ (ANCHE) LA BIOMETRIA. Qualcuno ha pensato di individuare proprio i meccanismi attraverso i quali le vecchie password “ispirerebbero” le nuove. Un gruppo di ricercatori della University of North Carolina ha passato al microscopio migliaia di codici di accesso che, negli anni precedenti, erano stati scelti da ex studenti, dipendenti e via dicendo (e aggiornati puntualmente ogni tre mesi!) e ha messo a punto un programma capace di predire le nuove password di alcuni utenti-cavia.

Il risultato? Positivo in 41 casi su 100 (e impiegando appena tre secondi!). «Questo dimostra», spiega Cranor, «che, tranne quando ci sia il sospetto che la nostra password sia diventata nota a qualcuno, potrebbe non avere senso stare a cambiarla continuamente». Ovviamente questo vale a patto che la sequenza di cifre, lettere e simboli sia stata scelta con buon senso fin dall’inizio (ecco come scegliere una password efficace). «In futuro», conclude Cranor, «il riconoscimento basato sulla sola password è destinato a sparire. Ci saranno più sistemi in parallelo che sfrutterano anche altri criteri, come la scansione dell’iride o l’analisi delle impronte digitali o vocali.»