Chiamarla Pippo una password era troppo difficile?

Chiamarla Pippo una password era troppo difficile?

input-output
Benvenuto su Input/Output: la blogletter in cui ogni martedì commento la notizia che mi ha più colpito del mondo tech.

Luca: "Lorenzo puoi venire qua che non riesco ad usare questo sito web?"
Io: "Va bene, vediamo insieme che succede... Per poter vedere questo contenuto ti devi registrare. Mi raccomando non usare la solita password!"
Luca: "Non ti preoccupare. Di solito uso come password Pippo ma siccome qui è richiesto di inserire almeno un numero. Metterò Pippo1!"
Io: "Ah... alla faccia della sicurezza"

Non crederai mai al numero di volte in cui mi sono trovato in una situazione simile.
Nei libri di informatica viene insegnato che per ogni sito dovremmo creare una password specifica, con una buona lunghezza, che non sia una parola di senso compiuto e che contenga un certo numero di simboli e numeri. Sfortunatamente l'essere umano non è fatto per memorizzare password di questo tipo e se anche riuscisse a memorizzarne un paio, il numero di password che servono quotidianamente renderebbe lo sforzo vano.
Per questo motivo tutti quanti (me compreso) violiamo le buone raccomandazioni dei libri e ci limitiamo a memorizzare un set di 3-4 password che a giro utilizziamo per ogni sito.

Emblematico del fatto che l'uomo non è in grado di memorizzare password neanche troppo complesse è quello che è successo a questo telecronista durante le olimpiadi di Tokyo 2020. In pratica, scordandosi di essere in onda, il cronista si rivolge al supporto tecnico per chiedere quale fosse la password di sblocco del computer lamentandosi della complessità della parola scelta, chiedendosi se "chiamarla Pippo una password era troppo difficile?" e concludendo con un "manco fosse il computer della NASA".

Al di la della scenetta simpatica però come è possibile risolvere il problema della gestione delle password?
Secondo me ci sono 3 aspetti su cui è possibile agire per migliorare la gestione delle password senza far dannare gli utenti:

  • In fase di creazione account permettere di inserire qualsiasi carattere nel campo password. Gli unici controlli che secondo me dovrebbero essere fatti sono relativi alla lunghezza della password, che non sia una parola presente in un dizionario, che non contenga tutti caratteri uguali (es. aaaaaaa) o il nome del servizio o la mail dell'utente e che non sia una delle 100 password più comuni.
  • Invitare caldamente gli utenti ad aggiungere un secondo fattore per l'autenticazione (es. impronta digitale o codice da ricevere tramite SMS)
  • Evitare come la peste di impostare delle policy di scadenza delle password. Sono completamente inutili. Per quella che è la mia esperienza diretta nel 99,9% dei casi l'utente utilizzerà sempre la stessa password aggiungendo semplicemente un contatore alla fine (es Pipp0!, Pipp0!1, Pipp0!2 ecc...). E su questo punto concorda con me anche Microsoft e il NIST.

Naturalmente per gli utenti più avanzati è possibile risolvere buona parte di questi problemi utilizzando un "password manager". Un password manager non è altro che un programma che memorizza le tue password archiviandole in maniera sicura. In questo modo ti basta ricordare la password principale dell'archivio per poi sapere tutte le altre.
Io personalmente ho utilizzo Enpass come password manager.

E tu che ne pensi? Hai qualche tecnica per gestire le password o ti affidi ad un password manager?


Grazie per aver letto questo articolo della rubrica Input/Output.
Ad ogni input, tipicamente, corrisponde un output. E solo esponendosi ad input diversi si possono tirare fuori idee non convenzionali. Proprio per questo ogni martedì prendo in input una curiosità legata al mondo tecnologico per ragionare su nuove idee da tirare fuori in output.