Si parla tanto di tutela dei dati personali in rete e spesso si sottovaluta un elemento centrale per la protezione di tali dati, ovvero la password che consente di creare e insieme protegge i nostri profili su social network e piattaforme online.
Il 6 giugno LinkedIn ha subito il furto di 6,5 milioni di password, il 5% circa degli account, pubblicate poi in un forum di hacker russi. Il popolare social network professionale ha ammesso il furto, consigliando delle procedure di tutela della password e rassicurando tramite il suo blog gli utenti sul fatto che i possessori delle password rubate sarebbero stati contattati.
La stessa settimana non è stata delle migliori per la sicurezza online, ovvero un articolo de La Stampa di Luca Castelli riporta che anche il sito eHarmony ha subito il furto di 1,5 password e Last.fm ha lanciato un segnale d’allarme rispetto alla sicurezza delle password, invitando gli utenti a cambiarle e aggiornando il proprio blog al riguardo.
Dal momento che le password sono state rese pubbliche, fortunatamente senza username, è possibile farsi un’idea del livello di sicurezza utilizzato dagli utenti. Mashable ha provato a costruire un’infografica che parte dalle 30 più comuni password violate e prosegue con una serie di errori comuni commessi dagli utenti nella scelta delle credenziali. Un interessante articolo di Leonard Berberi su Il Corriere.it riporta lo studio di un ricercatore dell’Università di Cambridge, Joseph Bonneau, che ha analizzato con un software alfanumerico le password delle e-mail di Yahoo.it deducendo che le password in italiano e in indonesiano siano quelle più violate. Anche Punto Informatico pubblica diverse notizie al riguardo, fra cui uno studio sulle password rubate a Sony nel 2011 che conferma il basso livello di sicurezza delle credenziali di accesso. In versione integrale la ricerca si trova sul sito di Troy Hunt, che l’ha realizzata. Esistono tool che possono aiutare a verificare la sicurezza della password come Password Meter e Microsoft Password Checker ed è sufficiente googlare “sicurezza password” per trovare numerosi tutorial che aiutano a costruire password complesse.
Vorrei provare a fare un ragionamento un po’ più complesso. Ovvero, sul perché si scelgano password così semplici. I motivi credo siano molteplici: senza chiamare in causa i massimi sistemi si può pensare alla carenza di fantasia, alla mancanza di competenze per creare una password complessa, al pensiero remoto che il proprio account potrebbe essere violato, ma anche in un certo qual modo al meccanismo di delega al sito della protezione dei nostri dati. Proprio a partire da quest’ultimo punto vorrei ampliare il respiro della riflessione. Anthony Giddens (qui qualche riga su di lui su Wikipedia), uno dei maggiori sociologi contemporanei, ha ragionato, soprattutto ne “Le conseguenze della modernità”, su fiducia e rischio nella modernità e ha introdotto il concetto di “fiducia nei sistemi esperti” per spiegare il necessario meccanismo di delega che la complessità del sapere moderno ha instaurato. Ovvero, non c’è il tempo e non ci sono le competenze per conoscere ogni cosa, ma soprattutto si vivrebbe in modo paranoico se si mettesse in discussione tutto. Di conseguenza si delega agli esperti la sicurezza della propria situazione. Per esempio, quando acquisto un’automobile mi accerto che funzioni ma, se non in rari casi, non controllo pezzo per pezzo come sia stata assemblata: mi fido del fatto che il costruttore abbia seguito gli standard di sicurezza. Lo stesso accade quando ci iscriviamo ad un servizio e scegliamo le nostre credenziali: ci fidiamo che siano sufficienti e che il gestore della piattaforma farà il resto. E’ chiaro, il caso delle password è limitato e circoscritto ma fa emergere almeno tre questioni. La prima: la facilità con cui gli hacker possono rubare le password. La seconda: la necessità di implementare regole condivise per garantire la sicurezza dei dati. In questa direzione il 1° luglio 2012 entreranno in vigore nuove regole prodotte dal CAB Forum, che raccoglie le Certification Authority e i browser del mondo. La terza: la necessità di un’educazione all’uso dei media, che tratti i temi più importanti ma anche le regole d’uso di base, in modo che la fiducia nell’esperto di turno non si trasformi, almeno nelle questioni più semplici come la scelta di una password, nel germe dell’alibi per non assumersi la responsabilità della verifica.