Da un episodio reale(1), sicuramente originato da una sfortunata serie di sfortunate coincidenze, ad una riflessione sul concetto di sicurezza e riservatezza in un ambiente che non è quello asettico e chiuso degli uffici aziendali, ma quello del mondo reale.
Una classe si reca in visita presso gli uffici di una importante multinazionale. Vengono presentate le tecnologie ed i loro risvolti nella vita aziendale ed anche personale. Durante la presentazione, uno dei relatori digita nome utente e password; purtroppo, la password viene digitata nella casella sbagliata ed invece degli **** viene mostrata in chiaro.
Fosse successo davanti al PC dell'ufficio, sarebbe bastato un "oops".
Se la cosa viene proiettata davanti ad un gruppo di persone sveglie... Il giorno dopo ho sentito uno dei presenti che ne apostrofava un altro con una parola impronunciabile di otto caratteri: iniziava per !, conteneva lettere maiuscole, lettere minuscole e cifre, secondo la più classica policy aziendale in materia di scelta delle password. Ovviamente l'epiteto non era una password qualunque.
Occorre anche precisare che non si trattava di un account qualunque, era quello di un "pezzo grosso", lo stesso utilizzato per accedere ai documenti aziendali riservati. Infatti, per scelta strategica, l'azienda ha deciso di avere account unici per tutti i servizi e i documenti, siano essi sul cluod oppure locali.
Nel caso specifico, gli studenti presenti erano "bravi ragazzi", nessuno di loro ha (forse) provato ad accedere togliendo di tasca il telefonino nel tentativo di curiosare nei segreti aziendali o nella vita privata di un top-manager, magari dopo aver modificato la password letta sullo schermo.
Ad un ragazzino mediamente sveglio servono pochi istanti per riuscirci, sicuramente meno che ad una persona un po' avanti in età (più di 25 anni, per intenderci) per accorgersi di quello che ha fatto, riprendersi dalla figuraccia e cambiare le proprie credenziali.
I mezzi non mancano a nessuno, sono sempre in tasca, sempre accesi e sempre connessi. La curiosità è dote di molti giovani. La sfacciataggine pure.
Non è fatto comune "sbagliare mira" col mouse, penso una volta su 1000. Ma succede. Personalmente ricordo, in pubblico, un paio di volte: su una macchina virtuale (poco male, la password era "finta") e su un server remoto, di produzione (per fortuna e, soprattutto, per lungimiranza quell'utente era specifico per quel server e aveva il solo potere di diventare root di quella specifica macchina, con ulteriore password).
E' normale che una persona non particolarmente paranoica in tema di sicurezza o riservatezza usi ovunque la stessa password, magari con qualche variante, in situazioni diverse.
E' normale e cosa buona che una password inizi con un ! ecc. ecc. , ma se la scrivi davanti a tutti ha la stessa efficacia di "1234567890"
La scelta di usare un unico account è profondamente e strutturalmente sbagliata, esattamente come usare sempre la stessa password per scopi diversi.
Ora, almeno un paio di primarie multinazionali informatiche lo consigliano (o lo impongono...) per accedere sia al PC personale che a quello aziendale, sia per usare i servizi sia per proteggere i dati che stanno nel cloud. Dicono loro: per poter accedere da qualunque luogo in qualunque momento. Dico io: per permettere a chiunque di poter accedere.
Sicuramente è comodo... fin quando un qualunque ragazzino sveglio legge quello che tu stai scrivendo e mostrando proprio a lui, sul videoproiettore o sul telefonino mentre sei sul treno.
La mia scelta è quella di diversificare il più possibile gli account. E se devo ricordare molte decine di coppie (utente; password), poco male(2). So che è una scelta perdente.
Nere nubi all'orizzonte?
(1) Mi sono permesso qualche "licenza poetica" e non sono riportati i dettagli che permettono di identificare le persone e l'azienda coinvolte
(2) Ovviamente associando il tutto a certificati digitali quando l'accesso è da remoto
Quest'opera distribuita con Licenza Creative Commons Attribuzione - Condividi allo stesso modo 4.0 Internazionale
