Microsoft Windows 8: accesso e cloud, sicurezza vs rapidità
Oggi iniziamo una splendida e proficua collaborazione con Domenico Fornarelli, un ragazzo bravissimo e veramente ferrato in materia informatica. Grazie alla sua passione e alla sua professionalità, indagheremo altri aspetti della tecnologia, a volte lontani (ma non troppo) da Apple. Vi lascio al suo primo, interessante, articolo. Buona lettura e… benvenuto a bordo, Domenico!
Microsoft permetterà di usare le immagini al posto delle tradizionali password alfanumeriche come strumento di autenticazione per accedere al proprio utente su Windows 8. L’obiettivo era la creazione di uno strumento che fosse tanto semplice e intuitivo quanto sicuro.
Con i tablet ed i PC dotati di Windows 8 si potrà scegliere un’immagine da mostrare a sistema bloccato e/o in fase di avvio. Per accedere bisognerà toccare o cliccare sull’immagine ed eseguire gesti precisi che Windows 8 riconoscerà e accetterà se la precisione è superiore al 90%.
“Essenzialmente la password grafica è progettata per evidenziare parti di un’immagine che sono importanti per l’utente e richiede una serie di gesti da eseguire velocemente e in piena fiducia”, si legge sul blog ufficiale dell’azienda.
I gesti in questione sono singoli tocchi, linee rette e/o cerchi. Al primo avvio, Windows memorizza quali gesti, quali direzione, verso e l’ordine. Poi la sequenza andrà ripetuta ogni volta che si vuole accedere al proprio account utente.
Una persona che volesse violare il sistema, quindi, dovrebbe conoscere gli elementi importanti dell’immagine, i gesti usati per evidenziarle e la direzione degli stessi. Piuttosto complesso, ma semplice per l’utente legittimo.
Microsoft fa notare che questo sistema è più sicuro della tradizionale password. Infatti, se al numero di caratteri si sostituisce il numero dei singoli tocchi (il caso più semplice), in un’immagine le possibili combinazioni sono 13.168.374.201.327.200 contro le 8.995.627.397.120 di password testuali. Un valore vertiginoso, che aumenta nel caso di cerchi e linee. Di fatto quindi bastano cinque gesti combinati per creare un sistema di autenticazione più sicuro di una password complessa a otto caratteri.
Da un punto di vista tecnico, Windows divide l’immagine in cento aree, usando le coordinate per memorizzare i gesti di sicurezza. Così, si può gestire un margine di tolleranza, necessario perché è quasi impossibile toccare o cliccare sempre esattamente sullo stesso pixel: allora Microsoft ha deciso di concedere una tolleranza del 10%, equivalentemente se il gesto è preciso almeno al 90%, allora si può accedere a Windows.
Tuttavia, mi permetto di dichiarare che esiste un rischio rappresentato dalle impronte, che in alcuni casi potrebbero guidare un malintenzionato interessato ad accedere ai propri contenuti. Un caso poco probabile, che diventa ancora più raro con l’uso della password grafica.
E’ apprezzabile più sicurezza, soprattutto considerando che sarà più ostico sviluppare nell’immediato i software per forzare questi sistemi. L’aspetto più importante, tuttavia, è che la password grafica è un sistema sicuro ed anche semplice; nessun utente su Windows 8 dovrà creare una password vulnerabile pur di ricordarsela o di converso dover ricorrere a password non facilmente “ricordabili” ed annotate altrove, vanificando di fatto il postulato-assioma “la mente non ha grimaldelli”.
Tutti quotidianamente abbiamo riscontrato come l’uso di password deboli siano la causa di “effrazione” per “utonti” tra monitor e sedia poco accorti, attenti, smemorati. Spesso le passowrd sono troppo corte, sovente sono parole esistenti, quasi mai con maiuscole e numeri, sono legate all’utente. Se le password più comuni al mondo sono “123456”, “password” e simili, è evidente che in molti non prendono la questione sul serio.
C’è chi colpevolizza esclusivamente agli utenti: in parte è giusto. Troppi utenti non si rendono conto di quanto sia importante proteggere i dispositivi che usano con i relativi dati che contengono, immaginando la protezione come una seccatura: è un’idea accettabile (non condivisibile) con i computer-desktop, ma non con i dispositivi che sono in movimento.
Osservando in profondità, si scopre che la password è un sistema creato da specialisti per specialisti, che ha rivelato le proprie debolezze quando la tecnologia è diventata accessibile a tutti. Oggi Microsoft ci mostra che colmare questa lacuna è possibile, dando allo stesso tempo più sicurezza a tutti.
Tuttavia, nel mio modo di vedere, la password grafica di Windows 8 è poco più di un giocattolo, non uno strumento serio per l’accesso sicuro in un mondo che brevetta l’accesso a doppio elemento SecureID di RSA e sta ora lavorando ad una procedura di autenticazione in tre fasi.
Il problema principale è che l’accesso è facile da osservare o filmare a distanza. Pensate, ad esempio, ad un tablet, con facilità di contatto fisico con il dispositivo.
Il problema dell’osservazione indiscreta è stato affrontato anche con le password: per questa ragione generalmente le password sono visualizzate come asterischi (con le dovute eccezioni per i touch-screen capacitativi) e non come caratteri intellegibili. La password grafica, per quanto affascinante ed innovativa, ammetto che si tratta comunque di uno strumento utile per alzare la consapevolezza riguardo alla sicurezza dell’accesso.
Forse si tratta di una prospettiva di un un esperto che si preoccupa anche di sistemi “supersicuri”, con un livello molto alto di sicurezza, dal momento che server RSA sono stati violati lo scorso marzo e i dati sottratti hanno messo a rischio il Dipartimento della Difesa USA.
La password grafica di Windows 8 è, invece, un sistema di accesso pensato soprattutto per i tablet, ossia prodotti destinati a consumatori generici che forse possono convivere con il rischio, in cambio di uno strumento per un facile accesso. Forse è un errore, perché accedere al dispositivo significa mettere le mani su dati personali anche molto delicati, ma di certo è meno probabile che un criminale prenda di mira “uno qualsiasi” piuttosto che un responsabile IT che può accedere a dati molto preziosi.
Insomma, la password grafica è un compromesso accettabile? Sì, per quasi tutti noi, mentre chi ha bisogno di strumenti più solidi ha a disposizione tante risorse diverse, come PC con lettori d’impronte digitali, lettori di smart card, accessi a doppio token, sistemi a due o tre fasi, password monouso inviate al cellulare e via discorrendo.
Tuttavia, Windows 8 riserva altre sorprese sull’argomento. Infatti, Windows 8 conterrà anche un gestore di password con sincronia online, secondo il racconto di Dustin Ingalls. Anche in questo caso, l’obiettivo è semplificare l’esperienza d’uso degli utenti, alla luce del fatto che ognuno di noi si trova a dover gestire decine (centinaia in alcuni casi) di credenziali diverse.
Le buone prassi indicherebbero di usare una password diversa e complessa ogni volta, ma l’attuazione è davvero difficile. “Il sistema nome/password presuppone alcune sfide appassionanti. Vogliamo tutti che il web sia facile, fluido e sicuro. Ricordarsi molte password complesse di certo non è facile, ma usare sempre la stessa password facile da ricordare non è sicuro. La soluzione ideale, quindi, dovrebbe unire facilità e sicurezza per tutte le identità digitali”, scrive Ingalls.
L’idea sostanziale è ricordarsi una sola password (possibilmente, ma ragionevolmente complessa), lasciare ad un servizio automatico l’ingrato compito di ricordare tutte le altre e di generarne ogni volta che servono. A oggi qualcosa di simile si può ottenere con lo stesso browser oppure con applicazioni come OnePassword, LastPass o KeePass.
L’integrazione con il sistema operativo proposta da Microsoft va un passo oltre quanto si possa ottenere dagli strumenti disponibili oggi. Da una parte, Windows 8 offre un gestore di password moderno e versatile come quelli descritti, che può compilare automaticamente tutti i campi richiesti da un sito web o da un’applicazione Metro; dall’altra chi accede a Windows 8 con l’identità Windows Live potrà sincronizzare questi dati tra più PC e crearne una copia di backup online crittografata.
Per ottenere un risultato simile si potrebbe inserire il database di uno dei programmi sopra citati (crittografato all’origine) dentro una cartella Dropbox, così da poterlo usare comodamente su più computer. La proposta di Microsoft è però più elegante e di ampia portata.
Nello stesso articolo Ingalls sottolinea gli strumenti che Microsoft mette a disposizione dei propri clienti per garantire la massima sicurezza dell’account Windows Live e la facilità nel recupero di una password dimenticata. Uno sforzo apprezzabile, ma che forse non tranquillizzerà chi riesce a immaginare uno scenario apocalittico in cui qualcuno riesca a penetrare nei server dell’azienda, impossessandosi di un’abbondanza di dati e scatenando la più grande campagna di phishing e frode online che si sia mai vista. In scenari meno apocalittici e concreti, è possibile immaginare situazioni critiche di spionaggio individuale, in cui un malintenzionato riesca a reperire l’unica password per avere accesso a tutte le altre ed ai contenuti archiviati, per quanto possano risultare cifrati nel tunnel.
Il rischio esiste, ma è altrettanto rischioso conservare dati su un qualsiasi computer, che potrebbe essere rubato o violato. La sicurezza assoluta non esisterà mai, tranne per chi decide di scrollarsi di dosso tutta la tecnologia possibile (discorso simile vale per la privacy).
Allora è necessario trovare un compromesso accettabile, senza false convinzioni che ci portino a pensare di essere più al sicuro di quanto siamo in realtà. La gestione password di Windows 8 potrebbe mettere tutti nelle condizioni di usare una password diversa per ogni sito, senza grossi sforzi; se dovesse accadere sarebbe un bene per tutti, anche considerando i rischi.
Fonte d’ispirazione: Tom’s hardware