Siamo onesti riguardo le nostre abitudini di password?

Parlare di password è sempre interessante. Mentre tutti sappiamo che non sono mai abbastanza sicure, dobbiamo ancora passare a qualsiasi alternativa che sia altrettanto conveniente. Recentemente PCMag.com ha cercato di ottenere delle risposte riguardo alle password, e così ha intervistato 2.500 consumatori degli Stati Uniti per avere un’idea delle loro abitudini. I risultati sono strani come ci si potrebbe aspettare.

Il sondaggio, condotto tra il 30 giugno e il 2 luglio, ha rilevato che il 35% delle persone non modifica mai le proprie password per iniziativa propria. Questa cifra mi sembra bassa. Non conosco nessuno che regolarmente modifichi le password quando non viene richiesto. Tuttavia, il sondaggio ha messo in evidenza che gli utenti modificano le loro password quando sollecitato.

Modifiche giornaliere della password? Veramente?

I risultati sono diventati più interessanti da lì in poi. Circa un quarto degli intervistati (27%) ha dichiarato di cambiare la propria password diverse volte all’anno. Sembra ragionevole. Improbabile, ma ragionevole. Ma il 12% ha riferito di cambiare le password una volta al mese e un altro 4% ha affermato di cambiarle una volta alla settimana. Inoltre, un altro 4% ha affermato di cambiare la propria password più volte alla settimana. Ora, ecco dove i risultati diventano davvero bizzarri: l’11% ha affermato di cambiarle ogni giorno.

Questo è piuttosto il campione più ottimista in un’indagine di sicurezza!

Non sono molto convinto dei risultati di questo sondaggio. Il mio istinto mi dice che la stragrande maggioranza delle persone cambia la propria password quando è costretta a farlo, e ciò che vediamo qui è una grande percentuale di intervistati che rispondono nel modo in cui pensano che dovrebbero rispondere, e non sono onesti riguardo alle loro abitudini.

Nel corso degli anni ho contribuito a creare e condurre un bel po’ di sondaggi sulla privacy e sulla sicurezza, e c’è una costante: le persone rispondono come pensano che dovrebbero reagire o rispondere. Per esempio, alla fine degli anni ’90, sono state condotte molte indagini sulla privacy. Questi sondaggi hanno cercato di capire quanta informazione personale si condivide online. I partecipanti tendevano a rispondere in modo che indicavano che la privacy è importante per loro, ma tale preoccupazione non si è mai rivelata nel lavoro reale, come la vendita di software VPN personale o la quantità di informazioni condivise con i servizi online.

Questo fenomeno è probabilmente correlato al bias di risposta, che descrive la tendenza delle persone a rispondere o ad agire in modi in cui ci si aspetta che rispondano.

Il riutilizzo della password

Relativamente recentemente, come affermó PCMag.com, la guida NIST su quanto spesso bisogna modificare le password ha ridotto la frequenza raccomandata da ogni 90 giorni a solo dopo che un account è stato compromesso.

Penso che la guida NIST sia per lo più ragionevole, ma credo anche che sia una buona idea cambiare periodicamente le password. La ragione è che la stragrande maggioranza delle persone tende a riutilizzare la stessa password/ nome utente tra molti account. Sappiamo tutti che questo non bisogna farlo, ma la gente lo fa comunque. Quello che succede è che i delinquenti informatici si procurano un sacco di password e nomi utente e poi li usano contro tutti i servizi online che possono fino a quando non ottengono l’accesso da qualche parte. Potrebbe essere una banca, un servizio cloud, un account di social media o qualsiasi altra cosa. Questo è il motivo per cui è sempre una raccomandazione di NIST cambiare la password dopo che un account è stato compromesso. Tuttavia, molte violazioni passano inosservate e avere una combinazione di password e nome utente in uso per anni è attirare il pericolo.

È probabile che la tua email e la tua password siano state compromesse. Molte persone si sorpendono quando lo scoprono. Se sei curioso, un posto sicuro per controllare è haveibeenpwned.com.

Se non mi credi su quanto sia comune il riutilizzo delle password, considera la colonna di Jai Vijayan in Password Reuse Abounds, New Survey Shows, che riporta in dettaglio un sondaggio LogMeIn di 2.000 intervistati di vari paesi condotto da LastPass. La ricerca ha rilevato che mentre il 91% degli intervistati ha dichiarato di comprendere i rischi legati all’utilizzo delle stesse password su più account, il 59% ha dichiarato di averlo fatto comunque. “Per il 61%, è la paura dell’oblio che è stata la ragione principale del riutilizzo della password. Il 50% dice di riutilizzare le password su più account perché vuole sapere e avere il controllo delle password in ogni momento”, ha scritto Vijayan.

Questo è sfidare il pericolo. E proprio come il precedente sondaggio in cui le persone segnalavano di essere ossessionate dal cambiare le loro password, penso che in questo sondaggio le persone mostrano ancora dei pregiudizi di risposta e rispondono come pensano che dovrebbero rispondere -non come agiscono nel mondo reale. Nel sondaggio LastPass, ritengo che i partecipanti sottostimino la frequenza con cui riutilizzano le password.

Mi piacerebbe pensare che le persone diventeranno più intelligenti quando si tratta della sicurezza delle password. Forse userai un generatore di password per crearle, un deposito di password per memorizzarle e persino cambiarle di volta in volta. E sicuramente, non usare le stesse password su tutti i conti.


George V. Hulme è uno scrittore di sicurezza delle informazioni e business technology riconosciuto a livello internazionale.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: