Il riutilizzo delle password è una pratica sconsigliata ma molto diffusa online (anche tra i dipendenti aziendali). Secondo gli esperti, ad oggi, sarebbero almeno 5 miliardi gli account violati grazie alla scarsa attenzione degli utenti:
Il riutilizzo delle password tra più siti resta un problema urgente [da risolvere] nonostante [sia una pratica largamente sconsigliata agli utenti]. Negli ultimi 15 anni vari studi ed inchieste hanno evidenziato che [una percentuale di utenti compresa tra il 75% ed il 93% riutilizza su più siti la stessa password (o una simile)].
Ne consegue che il furto di password da un database o un [tentativo di phishing andato a buon fine] compromettono solitamente anche gli account dell’utente su altri siti. […] Inoltre sembra che [il problema si stia intensificando] con un’incidenza di questa tipologia di attacchi in crescita del 35% nel solo primo trimestre del 2016.
E’ il caso di ricordare che nel corso degli anni sono state proposte e/o lanciate online alcune interessanti soluzioni per arginare il problema che, per una serie di motivi sottolineati nella ricerca, non sono tuttavia riuscite a divenire lo standard de facto, nel dettaglio:
- OAuth, OpenID etc. Espediente che consente di non inoltrare le proprie credenziali condividendo le informazioni di un determinato account a soggetti di terze parti (relying parties). La possibilità di collegare ad un sito l’account Facebook, Google, Twitter etc. (definiti anche provider dell’identità) evita a tutti gli effetti il riutilizzo delle password. Le criticità che hanno rallentato tale approccio, osserva il paper, sono le seguenti: nel caso in cui l’account principale e/o il provider dell’identità siano compromessi, il malintenzionato ottiene l’accesso immediato a tutti i siti (o alle applicazioni) collegati/e; OAuth e simili “svelano” infine al provider di identità le abitudini dell’utente (quali siti frequenta etc.), toccando quindi la delicata tematica della privacy.
- Individuazione di password compromesse. Procedura che ricerca la presenza di una o più password in un determinato campione di siti illegali (mercato nero). In caso di corrispondenza la password viene immediatamente cambiata evitando futuri rischi. Tramite appositi strumenti si cerca anche di individuare attività sospette che riguardino il riutilizzo delle credenziali. Tale approccio, osservano gli studiosi, è certamente utile a “prevenire” i rischi ma non contribuisce a cambiare le cattive abitudini dell’utenza.
- Bloccare l’utilizzo delle password più popolari. Proposta che prevede l’impossibilità di utilizzare le password scelte più di frequente dall’utenza. Al momento della registrazione il sito confronta la combinazione dell’utente con le altre presenti nel database. Se la password viene identificata come “popolare”, è quindi utilizzata da un elevato numero di utenti, la procedura di registrazione si blocca e l’utente è costretto a pensare ad una combinazione differente. Tale approccio non è in grado di scoprire se una password sia stata riutilizzata o meno in altri siti.
- Strumento di controllo degli accessi. Uno strumento al quale l’utente può ricorrere per bloccare l’accesso a siti o app con le proprie credenziali. Tale approccio necessita tuttavia la presenza di un provider che fornisca accesso al tool di blocco in questione – è richiesto quindi un ulteriore passaggio di identificazione.
La soluzione è…?
L’approccio proposto da Ke Coby Wang e Michael K. Reiter (Università del Nord Carolina), autori del paper, è complementare alla proposta del tool per il controllo degli accessi:
in questo paper abbiamo presentato un possibile metodo [per risolvere il problema che prevede] il coordinamento della scelta delle password tra più siti in modo che password simili non possono essere usate per l’identificazione del medesimo account. Un [elemento del nostro framework] è [il protocollo set-membership-test]. Il […] framework si basa su questo protocollo per rispondere [ai nostri obiettivi, per la precisione l’implementazione di due vantaggiose caratteristiche]: la sicurezza dell’account e la privacy. [Tenendo infine conto delle varie tendenze dell’utenza possiamo ottimizzare i parametri del nostro framework […].
Semplificando, i due ricercatori ipotizzano un “dialogo” tra siti internet durante le procedure di iscrizione: quando l’utente indica la combinazione desiderata, il sito A chiede ai siti B,C,D etc. se quest’ultimo ha già utilizzato quella password. L’operazione, si legge sempre nel documento, deve essere eseguita in modo tale da non mettere a rischio le combinazioni (la risposta dovrà essere esclusivamente “affermativa” o “negativa” e non dovrà contenere quindi alcuna password), permettere la corretta associazione tra utente/combinazione e non gravare sul server.
La soluzione, sempre teorica, è l’utilizzo della crittografia omomorfica unitamente al protocollo descritto nel paper. La sola applicazione di tale approccio ai portali e servizi più utilizzati sul Web (Facebook, WhatsApp, Instagram etc.) sarebbe in grado di diminuire sensibilmente il numero di password ripetute ed “istruire” l’utenza a rispettare la buona norma di sicurezza.