L'anarchia delle password

Secondo l'autorevole definizione del "De Mauro" la parola password significa:

parola di riconoscimento che, digitata dall’utente su un elaboratore, permette di accedere a determinate informazioni o a particolari programmi

Il legislatore invece, per metterla sul profilo giuridico, si riferisce alla password con le parole "credenziali d'accesso" per indicare la combinazione di username e password.

Sia il vocabolario, sia il legislatore sanno quindi riconoscere distintamente una password. Putroppo però, molto spesso direi, non basta distinguere un elemento per risolvere tutti i problemi ad esso collegati.

Nel dettaglio: a chi appartiene una password ? Chi è l'unico soggetto legittimato alla sua creazione, modifica, diffusione e/o distruzione ?

Il legislatore non ce lo dice, il De Mauro neanche, la netiquette nemmeno, e allora siamo nel campo delle ipotesi, siamo in un probabile vuoto normativo, siamo all'anarchia che accompagna qualsiasi fenomeno (relativamente) nuovo.

D'istinto mi verrebbe da scrivere che la password è mia. L'ho scelta io, l'ho associata ad un servizio che mi viene offerto, o che ho comprato, l'ho memorizzata in mente, l'ho impostata nei miei programmi e pertanto io sono l'unico soggetto legittimato a cambiarla. Nei software seri infatti neanche gli admin o i superuser possono leggerla.

E' per questo che mi sono stupito quando il mio fornitore di servizi web ( aruba ) mi ha inviato questa email:

Gentile cliente,

Abbiamo ricevuto segnalazioni di un phishing (email fasulle) inviato ai nostri clienti dove si richiedevano user e password cosi' come e' stato fatto spesso, anche in tempi recenti, per reperire dati sensibili quali i dati di accesso ai conti postali o di banche on-line.

Pertanto abbiamo deciso di procedere con un cambio precauzionale dei suoi dati di accesso.

Con l'occasione verranno applicate anche ai vecchi account le attuali policy di sicurezza relative a lunghezza e formato delle password :

- lunghezza compresa fra 8 e 13 caratteri;
- formato alfanumerico (deve quindi contenere sia lettere che numeri)
- diversita' dalle password utilizzate in precedenza

La nuova password relativa alla login xxxxxxx@aruba.it è:

xxxxxxxxxx

Sara' ovviamente possibile procedere con un nuovo cambio password e sceglierne una a suo piacimento a patto che vengano rispettati i parametri sopra elencati.

Per effettuare il cambio puo' utilizzare l'apposita funzione nella Area Clienti del sito hosting.aruba.it



Pertanto una società che gestisce in italia 800.000 domini internet ha pensato bene di cambiare forzatamente le password a tutti i suoi clienti di propria iniziativa.

Come vedete questo fa sorgere una serie di domande

1) Chi li autorizza a cambiare le MIE password di accesso ?
Nello specifico, so bene che la password è fondamentale, proprio per questo la cambio ogni tot mesi. Di solito pre-memorizzo la password su alcuni pc che effettuano operazioni anche giornaliere sul web. Nei giorni in cui Aruba ha cambiato la password non ero al pc e i miei programmi si sono "intoppati" e ho ricavato gravi figuracce con i miei clienti. Chi mi ripaga ?

2) La password è stata davvero cambiata per precauzione ? oppure aruba è stata vittima di hacking e vuole mascherare in questo modo becero la propria incompetenza ?
La mia prima reazione è stata quella di rimettere la password precedente (che avevo impostato 20 giorni prima) ma il sistema me l'ha impedito. Ciò potrebbe indicare che aruba vuole evitare che un utente rimetta una password potenzialmente "rubata" ?

3) Perchè bisogna cambiare le password di tutti i clienti quando solo una piccola percentuale potrebbe necessitare del cambiamento ? E' un po' come cambiare tutte le serrature del mio condominio di 10 piani perchè io ho perso le mie chiavi di casa. E' una contromisura decisamente esagerata e non in linea con le potenzialità tecnologiche di questo millennio. Perchè non mandare l'email solo ai soggetti che hanno cambiato la password negli ultimi 5 giorni chiedendo di rimodificarla al più presto ?

Siamo all'anarchia, ogni società gestisce le password dei clienti come roba propria. Cartasi le resetta ogni 2 mesi, aruba le cambia quando i clienti subiscono phishing... e noi utenti ? aggiorniamo i nostri bei file .odt protetti da password e reimpostiamo i nostri programmi e i nostri script perchè qualche gonzo potrebbe aver abboccato ad una email di phishing.
Che tristezza...


Massimo De Disprezzo

www.maxdisprezzo.com


Commenti

Anonimo ha detto…
A me non hanno mai chiesto di cambiare password, ed ho la mia mail principale con aruba da inizio 2006 (fra l' altro mai cambiata e con nome da vocabolario: peggio di cosi'!!)
Max Disprezzo ha detto…
Vero, non l'hanno cambiata a tutti, solo 4 su 5 dei miei amici Webmaster sono stati coinvolti. Ciò avvalora la tesi che ci sia stato un hacking di alcuni server dentro aruba. O magari qualche ex dipendente cattivello.

Post più popolari