di James Hansen
La password, la parola chiave per accedere ai sistemi informatici in ufficio, dovrebbe essere in via d'estinzione. Nei fatti, non sembra ancora essere così. Queste maledette 'stringhe alfanumeriche' sono comunque una fonte di guai. Si stima che le richieste di 'resettare' la password - o comunque, per risolvere difficoltà di accesso al sistema - in molti casi ammontino alla metà dei reclami che arrivano agli help desk informatici delle società - e che questi interventi, almeno negli Usa, costino all'azienda mediamente $70 ciascuno...
Il problema è a prima vista semplice, almeno da definire. La password che è facile da ricordare è insicura. Quella sicura è invece, per definizione, difficile da ricordare - e questo spesso ci costringe a scriverla su un pezzo di carta da infilare in un cassetto della scrivania - il che la rende ancora meno sicura... Come se non bastasse, le password 'invecchiano' nel tempo e bisogna cambiarle spesso.
La difficoltà è nota ed è stata lungamente studiata, a volte con esiti esilaranti. Da una ricerca condotta dalla Infosecurity Europe nel 2004 su un campione di impiegati pendolari di passaggio in una stazione della Metropolitana di Londra, è emerso che - allora - il 71% degli interpellati era disposto a cedere le credenziali della propria password in cambio di una barretta di cioccolato. Ai lavoratori è stata posta una serie di domande, partendo da: "Qual'è la password che usa per il computer in ufficio?" Il 37% ha immediatamente risposto rivelandola. Per quelli che hanno preferito non rispondere, i ricercatori hanno proseguito con una comune tattica di interrogatorio, chiedendo: "Scommetto che ha a che fare con il nome di un figlio o di un animale da compagnia" - al che un altro 34% ha rivelato la propria password...
Da allora è evidente che molto è cambiato. Per esempio, non è più pratica comune permettere ai dipendenti di inventare la propria 'parola' d'accesso, spesso troppo facile da indovinare. Si sta, seppur lentamente, passando ad altri sistemi, a volte 'biometrici', come la scansione di un'impronta digitale, oppure a 'smart card' di vario tipo. A volte si mescolano le due tecniche, chiedendo sia l'uso della card sia dell'impronta. Sono metodi che però richiedono la presenza del lavoratore davanti a un terminale. Sono anche una sorta di 'ritorno al passato', essendo funzionalmente simili - in quanto basati sul possesso di oggetti fisici - alla 'chiave dell'ufficio', quella metallica, di una volta.
Queste soluzioni sono delle 'pezze' intermedie. ll problema è per ora irrisolto. Si sa - o almeno si pensa - che la soluzione futura dovrà essere triplice, una combinazione di tre elementi: qualcosa che sai (username/password), qualcosa che possiedi (un cellulare o una chiavetta) e qualcosa che 'sei' (dati biometrici permanenti). Ah sì, e il tutto deve essere portatile, per accomodare chi lavora da casa o in viaggio. E pensare che una volta bastava essere davvero la persona che sai di essere...