Tecnologia

Password queste sconosciute: i 10 peggiori scivoloni sulla sicurezza commessi nel 2018

Password assenti, troppo facili o dimenticate: nel 2018 la sicurezza informatica ha creato e avuto parecchi problemi, in barba a tutte le linee guida su come gestirla. A combinare guai enti pubblici e privati, personaggi famosi, aziende in vista.

Vi sarete sentiti ripetere fino alla nausea che le password sono importanti. Che dovete crearne di originali, complesse, lunghe, diverse per ogni servizio web, eccetera. Saprete anche che non tutti seguono queste linee guida. Ogni anno impazza in Rete l’articolo con “le peggiori password” dell’anno, tipicamente 123456, oppure giuditta a protezione della mail della signora Giuditta. Questi casi non stupiscono più, per lo meno non tanto quanto le aziende, gli enti pubblici o i personaggi famosi che commettono mancanze a dir poco deprecabili.

A stilare questa speciale classifica ci ha pensato Dashlane, azienda produttrice di software per la generazione di password sicure e dei relativi programmi di gestione e memorizzazione. Vi proponiamo i primi 10 classificati al demerito. Attenzione: non sono esempi da imitare!

Si parte con Kanye West, celebre rapper statunitense, che in occasione di un incontro con il presidente Trump alla Casa Bianca ha sbloccato il suo iPhone X sotto l’occhio vigile di decine di telecamere. Tralasciamo il fatto che questo smartphone dispone anche dello sblocco mediante scansione facciale, quindi non è necessario digitare il codice. Sorvoliamo sul fatto che, se proprio si vuole digitare il codice, si dovrebbe almeno cercare di farlo in modo che altri non lo vedano. A far finire West in classifica è il pin che ha scelto: “00000”, che si commenta da solo. Come fa notare Dashlane, avere un codice debole è già abbastanza rischioso di per sé, sfoggiare sfacciatamente l’uso di password scadenti è pessimo.

Vi sembrerà incredibile, ma a conquistarsi la seconda posizione è nientemeno che il Pentagono, il Dipartimento della Difesa degli Stati Uniti d’America. Un recente controllo del Government Accountability Office (GAO) ha rilevato numerose vulnerabilità alla sicurezza informatica. Fra tutte ce n’è una decisamente inaccettabile: gli incaricati di GAO sono riusciti a indovinare molte delle password di amministratore in soli nove secondi. Perché? Perché i software a protezione di alcuni dei sistemi di armamento più potenti del mondo erano protetti da password predefinite, che qualsiasi utente avrebbe potuto trovare con una ricerca su Google.

La terza piazza è dedicata a chi proprio le password non riesce a ricordarle, fra cui molti investitori in criptomonete. Accade perché questi portafogli di investimenti non permettono ai proprietari di usare password alla Kanye West. Volente o nolente gli utenti sono obbligati a scervellarsi per inventare chiavi lunghe e complesse, e validarle con l’autenticazione a due fattori. Peccato che un sacco di gente continui a dimenticarsele. C’è notizia di qualcuno che è ricorso persino all’ipnosi per spremere meglio le meningi.

La medaglia di legno va a Nutella, che ha dato ai suoi golosi fan il consiglio peggiore dell’anno: usare “Nutella” come password. L’azienda non solo è affondata in una imperdonabile caduta di stile, ma ha snocciolato il consiglio, via Twitter, per celebrare il World Password Day. Come dire: nella Giornata nazionale del Risparmio energetico lasciate accese tutte le luci di casa quando uscite. Il buon senso questo sconosciuto.

Quinta posizione per gli avvocati britannici, che si sono dimostrati ingenui, oltre che smemorati. Complice il furto di password ai danni di 500 dei più importanti studi legali inglesi, è venuto a galla che parole d’ordine erano ordinatamente archiviate in formato testuale, pronte all’uso. Bastava aprire un file come un documento Word per averle tutte a portata di mano. Più che mettere sotto accusa gli hacker, dovrebbero denunciare se stessi, e non per eccesso di arguzia.

Chihuahuan, Texas. Deserto come la password

 

Se pensate che non si possa fare peggio degli avvocati britannici, aspettate di leggere quello che è accaduto nello Stato del Texas. Chi ha ricevuto l’incarico di gestire i dati di 14 milioni di elettori li ha archiviati su un server online. Peccato che abbia dimenticato di proteggerli con una password. Una qualsiasi, anche una predefinita, sarebbe stata meglio del nulla cosmico lasciato alla voce “password”. Incommentabile.

Lo staff della Casa Bianca è in settima posizione, ossia sta migliorando parecchio rispetto agli scorsi anni. A questo giro nessuno ha pubblicato la password su Twitter per ricordarsela (!). In compenso un membro dello staff ha pensato bene di appuntarsi email e password su un documento ufficiale. Non che sia cosa da fare, ma il problema non è stato questo. È stato che si è dimenticato il suddetto documento alla fermata dell’autobus. Almeno sappiamo che non intasa il traffico con un’auto personale.

All’ottavo posto è il turno di Google. Non per le falle di Google Plus, ma per un vuoto di memoria di un dipendente. Si è dimenticato di proteggere una pagina di amministrazione, permettendo a uno studente di ingegneria del Kerala, in India, di entrare e di accedere a un satellite televisivo. Non si può parlare di hacking, dato che non erano stati impostati né la password, né il nome utente. Del resto, le cose o si fanno bene o non si fanno.

Penultima posizione per le Nazioni Unite. La missione di mantenere la pace nel mondo deve avere dato l’illusione che tutti siano buoni e bene intenzionati. Tanto che i documenti salvati in cloud non erano protetti da password. Va bene fidarsi, ma così è troppo!

Cambridge University

 

Chiude la classifica il prestigioso ateneo britannico di Cambridge, dove hanno studiato alcune delle menti più brillanti del Pianeta. Fra queste di certo non c’è quella che ha pubblicato in chiaro una password sulla piattaforma di sviluppo GitHub. Ha permesso di accedere ad alcune ricerche, fra cui una che includeva i dati di milioni di persone, raccolti tramite l’app Facebook myPersonality. Peccato che non gli sia caduta in testa la mela di Newton, magari avrebbe rimediato prima del danno.