Jesper Johansson, guru della sicurezza di Microsoft, condanna la politica che vieta di creare promemoria per le password aziendali: a suo avviso, riduce la sicurezza
Le aziende non dovrebbero impedire ai dipendenti di scrivere su un foglio le loro password, perché questa politica, indirettamente, ne indebolisce la sicurezza. Lo sostiene Jesper Johansson, guru della sicurezza di Microsoft, intervenendo a una conferenza organizzata dall’AusCERT, il team australiano di risposta alle minacce informatiche.
"Quanti di voi adottano una politica in cui si vieta categoricamente di scrivere promemoria per le password?", ha chiesto Johansson. La maggior parte della platea ha alzato la mano, ma la risposta è stata spiazzante. "Lo ritengo completamente sbagliato. A mio avviso, le politiche sulle password dovrebbero consentire di scriverle. Io uso 68 password diverse. Se non mi è permesso scrivermele da qualche parte, cosa sarò costretto a fare? Userò la stessa password su ogni sistema".
Secondo Johansson, infatti, l’uso della stessa password riduce la sicurezza complessiva. "Poiché non tutti i sistemi supportano buone password, finirò ad adottare una password debolissima, la userò dappertutto e non la cambierò mai", ha spiegato. "Se invece le scrivessi su un foglio e lo conservassi con la massima cura, non ci sarebbe niente di male. In questo modo, si potrebbe ricordare un numero di password maggiore – e password migliori". Da vent’anni, ha dichiarato Johansson, l’industria della sicurezza sta dando un messaggio sbagliato riguardo alle password.
I partecipanti alla conferenza ammettono che il ragionamento di Johansson sia sensato, ma alcuni lo ritengono poco praticabile. Un amministratore IT, che ha chiesto di rimanere anonimo, afferma che la sua azienda (una multinazionale dell’entertainment) adotta una politica molto severa, che vieta di scrivere le password. Tuttavia, l’amministratore ammette di aver salvato le proprie password personali su un file crittografato, perché è "molto più sensato" che cercare di ricordare molteplici password forti.
Un altro delegato che ha chiesto l’anonimato, un rappresentante di un ente pubblico australiano, sostiene che inserire una lista di password in un file crittografato va bene per un amministratore, ma non per tutti. Alcuni utenti poco esperti, infatti, potrebbero dimenticare la password per aprire il file protetto. Secondo il delegato, anche l’autenticazione a due fattori (come i token RSA) non è sicura, perché spesso le persone scrivono il loro PIN su un foglio di carta e lo attaccano dietro al token. "Conosco un ministro che l’ha fatto".