Author: Wired
Quanto può volerci per indovinare una password di un’agenzia o di un dipartimento federale? L’Ispettorato generale di un dipartimento governativo degli Stati Uniti ha fatto un esperimento, e ha fornito una risposta inquietante: in novanta minuti i tecnici sono stati in grado di craccare più di tredicimila password, il sedici per cento di quelle presenti su tutti i dispositivi dipartimentali. Il Department of Interior di Washington non equivale al nostro Ministero degli Interni: si occupa della gestione delle risorse naturali e del patrimonio culturale: è quindi a metà tra il nostro Ministero dell’ambiente e dei Beni Culturali.
L’Ispettorato, il cui compito è vigilare sulle pratiche di sicurezza, ha concluso che “i requisiti di complessità delle password non sono abbastanza stringenti da prevenire potenziali accessi indesiderati ai sistemi e ai dati”. Molti account di dipendenti sono infatti protetti solo da password, senza autenticazione multifattore o altre ulteriori impostazioni di sicurezza.
Per acquisire le password, gli ispettori hanno speso poco meno di quindicimila dollari, mettendo insieme una catena di computer in grado di eseguire calcoli matematici complessi. La macchina è riuscita a ricostruire le password dei dipendenti – alcune di esse molto ovvie, come “nationalparks2014”. La più usata: Password-1234.
La conclusione del report è che un gruppo criminale dotato di buone risorse economiche potrebbe tranquillamente impossessarsi delle credenziali dei dipendenti del dipartimento, anche appartenenti a funzionari di alto profilo. Il cinque per cento degli account analizzati erano protetti da una qualche variazione della parola “password”.
La mancanza di autenticazione a due o più fattori rende vulnerabili agli attacchi diversi database sensibili e sistemi strategici. Le stesse policy interne imporrebbero questa pratica, ma i funzionari sembrano averla del tutto ignorata.
“Nell’attuale scenario sono necessari metodi di autenticazione forti e pratiche solide di gestione di account e password per proteggere i sistemi informatici da accessi non autorizzati. L’eccessiva dipendenza dalle password per limitare l’accesso al sistema al solo personale autorizzato può avere conseguenze catastrofiche”, è l’impietosa, ma ovvia, conclusione dell’ispettorato.