Affrontando il discorso della “strong user athentication” in buona parte delle organizzazioni il vero problema non è dare un “oggetto” per l’autenticazione, di qualunque genere, alle persone, ma gestirlo adeguatamente.
Quando lavoravo in Aeronautica Militare (in un reparto operativo interforze NATO) questo aspetto era gestito veramente bene.
Il primo giorno di lavoro, venni fotografato e venne prodotto una specie di tesserino aziendale. Con quel tesserino accedevi ai tornelli, accedevi alle stazioni di lavoro e agli altri sistemi, in funzione del ruolo e del livello di “segretezza” che era stato assegnato.
Accedevi a certe cose e non ad altre. Sempre in funzione del ruolo e del livello, potevi aprire i tornelli solo della tua sede, di altre sedi, accedevi ai sistemi in orario di lavoro oppure 7×24.
Se per qualunque motivo perdevi il tesserino potevi chiamare un numero verde 7×24 da qualunque parte del pianeta e farlo invalidare.
Appena tornavi in sede te ne facevano un altro.
Quando me ne andai, prima invalidarono il tesserino e poi fui accompagnato a prendere le mie cose personali.
Le organizzazioni “statali” italiane, annaspano fra vincoli di bilancio, paletti legislativi, sindacati retrogradi e limiti culturali di certi dirigenti incapaci di gestire in modo corretto la sicurezza.
Dirigenti (e funzionari) che sulla carta risultano “guru della sicurezza e delle procedure IT”, e per questo sono profumatamente pagati con uno stipendio sicuro ogni fine mese, cascasse il mondo… già fanno fatica a gestire un account con userid/password tradizionali.
Quante volte, durante l’implementazione di un sistema per la gestione del protocollo informatico mi è capitato di constatare che il Personale non sa che una persona c’è. Se lo sa non ha chiaro cosa faccia e a che titolo. Se cambia ruolo o se ne va il Personale è l’ultimo a saperlo. Anche se lo sa, HR ed IT non si parlano ed account di persone andate da anni sono ancora attivi.
Molto spesso il punto debole della catena della sicurezza è il fattore umano.
Quotidianamente mi capita di dover spiegare l’importanza della creazione di una buona password ai miei clienti. Ho deciso così di scrivere queste quattro parole, semplici semplici, nell’interesse di tutti, principalmente il mio in qualità di contribuente, prima ancora che potenziale fornitore di “soluzioni”.
Altrettanto spesso mi sento ripetere che password “complicate” sono difficili, giustamente, da ricordare, e si opta per le solite scappatoie: nome del figlio, moglie, amante, magari con l’aggiunta di una data di nascita, così si ha il palliativo di avere creato una “password difficile”.
Utenti “evoluti” fanno uso di programmi di dubbia provenienza che permettono di gestire portafogli di password, ma occorre sempre avere 5 o sei chili di “personal computer” appresso per recuperare quella che ci serve.
A tutti coloro che hanno qualche difficoltà a creare una password sufficientemente sicura suggerisco di utilizzare un metodo abbastanza semplice quanto efficace.
In crittografia, un cifrario a sostituzione è un sistema che utilizza un alfabeto per il testo in chiaro e una permutazione dello stesso per il testo cifrato.
La permutazione utilizzata costituisce la chiave del sistema. Durante la cifratura, ad ogni lettera del testo in chiaro viene associata la corrispondente lettera dell’alfabeto permutato.
Su Internet si trova facilmente il sito https://www.passwordchart.com/ che offre un sistema per generare password sicure basato su un meccanismo di codifica mediante una tabella.
Innanzitutto bisogna impostare la chiave casuale iniziale, con la quale creare la tabella di riferimento, può essere qualsiasi parola facile da ricordare.
Ad ogni lettera dell’alfabeto saranno associate lettere e/o numeri e/o simboli. Poi basta inserire la propria password che sarà convertita utilizzando la tabella. Il risultato sarà una password abbastanza sicura.
Un sistema semplice, che non salva dati e che funziona anche senza avere un computer a disposizione, visto che è possibile stampare la tabellina di riferimento e usarla per “costruire” al volo la password che ci serve, partendo dalla nostra parola chiave.
Anche questa soluzione, ovvio, ha i suoi punti deboli, ma è certamente più efficace di qualsiasi post-it con password aleatorie. Altrimenti potete fare come ho visto fare… scrivete nome utente e password (di root) su un bel foglio A4 e lasciatelo proprio dinnanzi al computer da proteggere… nessuno crederà che si possa essere tanto idioti da lasciare le credenziali di accesso della macchina proprio lì (o forse no?)…
Lascia un commento