di Piero Giuseppe Goletto
L’Autenticazione è quel processo di verifica dell’identità dell’utilizzatore di un sistema informativo che si fonda sull’associazione tra un nome utente (es. pincopanco) e una password (es. pAnc0-p1nc0). Insieme queste formano le credenziali di accesso.
Chi legge ha forse notato una cosa: non abbiamo scritto la password come “pancopinco” come sarebbe stato logico, considerando che la coppia “pincopanco” e “pancopinco” è citata in Alice nel Paese delle Meraviglie. Questo perché tutto il meccanismo delle credenziali di accesso si basa su due principi: la segretezza e la difficoltà intrinseca nell’indovinarle.
Spesso chi cerca di rubare le credenziali a un utente tenta un “attacco a forza bruta” basandosi su un “dizionario esteso” costituito dalle parole del vocabolario, da nomi propri di persona e codici ricorrenti (tipo “12345678”, “abcdefgh”, “forzajuve”, “password” e così via). “pancopinco” è presumibilmente una delle voci di un dizionario del genere (sarebbe strano il contrario, a ben pensarci).
Una combinazione di 12 caratteri composta da lettere maiuscole e minuscole, segni speciali e cifre richiede, secondo le stime più recenti, 63.000 anni per essere indovinata. Di contro una parola nota tipo “password” viene individuata in 0,19 millesimi di secondo (fonte: passwarden.com). Lo stesso sito fa notare che questi tempi vanno riducendosi, la stima è che per indovinare la password “password”, tra dieci anni, occorreranno 0,005 millesimi di secondo. Praticamente questo vuol dire già oggi consegnare i propri dati a un malfattore.
Si tenga poi conto che a ogni utente corrisponde (anche su Internet) un profilo, cioè un insieme di cose che quello stesso utente può fare, ad esempio consultare la posta elettronica scrivere su un social, consultare il proprio conto bancario e così via.
Proprio per la delicatezza di alcune attività e per rendere difficile la vita ai malfattori informatici si sta passando a un processo di autenticazione a due fattori che sempre più va diffondendosi. Accanto alle password, viene richiesto l’utilizzo di un altro fattore che è normalmente dato da un codice numerico, detto token, composto da 4-8 cifre e generato automaticamente da un app installata sul telefonino che cambiano ogni 30-60 secondi.
In presenza di situazioni molto delicate vengono usati dati biometrici, per esempio le impronte digitali o i dati sulla posizione dell’utente: in quest’ultimo caso ciò vincola lo stesso ad accedere da un luogo preciso o da un contesto noto. E’ questa la ragione per cui, ad esempio, in cui un social (lo fanno Facebook o Twitter/X ad esempio) segnala che l’utente ha acceduto, per la prima volta, da una posizione non rilevata precedentemente dal sistema.
La delicatezza del tema sta anche nel fatto che è diffuso il cosiddetto Single Sign On, nel qual caso l’utente accede una sola volta con le proprie credenziali e gli viene dato un token di autenticazione, chi legge lo veda come una specie di passaporto informatico. Se il Single Sign On venisse compromesso i danni sarebbero non indifferenti.