Non devo stare a sottolineare quanto sia importante la sicurezza nel web, sia voi più esperti lettori di SaggiaMente che le persone "normali" conoscono i problemi del phishing, dei dati di carte di credito rubate, e dell'uso intelligente di password e nomi utente. Ma si sa, dalla teoria alla pratica ci può essere differenza e in questo caso ce n'è parecchia.

Sempre più sovente capita di leggere di un attacco ad un sito minore dove dei malintenzionati acquisiscono migliaia e migliaia di nomi utenti e password. Con uno sguardo superficiale potremmo dire "Sì, ma non è un problema tanto è un sito dove tenevo i preferiti del browser" (o qualunque altro dato non importante), le implicazioni invece sono ben più grosse: troppo spesso lo stesso nome utente (o email) e password vengono riusate per vari siti, passando da Facebook, Gmail, e il sito della banca online. Una vignetta di XKCD sintetizza bene il pericolo:

Password reuse

Le soluzioni a questo problema sono molteplici e in questo blog abbiamo già avuto modo di parlare di 1Password e LastPass, così come di uno dei migliori metodi per scegliere le proprie password — nel caso vadano ricordate a memoria.

Un articolo pubblicato sul blog degli sviluppatori di 1Password fa un passo avanti e analizza perché esistono così tanti problemi di sicurezza. In una frase, la radice del male è la scomodità d'uso dei metodi tradizionali di protezione.

Il motivo principale per cui le persone scelgono di riusare per ogni sito la stessa password non è la loro stupidità, quanto più l'impossibilità pratica di crearne una per ogni sito specifico. Esistono stratagemmi come adoperare una stessa base a cui aggiungere le prime lettere di un servizio, ma sono spesso troppo cervellotici e difficili da ricordare.

È in questo momento che entra in gioco la comodità: usare la stessa password in ogni sito più comodo che averne cento diverse, magari sparse in decine e decine di post-it.

Solo quando il metodo più sicuro è anche quello più comodo questo viene realmente usato, vedi i felici esempi di 1Password e LastPass. Lo stesso dicasi di FileVault, la soluzione di Apple al problema del criptaggio dei dati sensibili dell'utente. Se per usarlo fosse necessario avere una password per ogni file modificato, pensate che avrebbe avuto successo? Non credo proprio. Invece, nell'attuale incarnazione, l'attivazione e l'uso sono praticamente trasparenti all'utente. Massima comodità per un alto livello di sicurezza.

Viene da chiedersi perché i creatori dei sistemi operativi e dei browser più diffusi non abbiano deciso di creare un'implementazione ad hoc dei servizi offerti da 1Password e LastPass, con una piena integrazione negli altri loro prodotti — e no, non venitemi a dire che Accesso Portachiavi è utile quanto 1Password, stesso vale per la memorizzazione delle password in Chrome, Safari e Firefox. Col tempo l'importanza della sicurezza online potrà solo che aumentare, ma pare che la vera portata di questo problema non sia ancora pienamente percepita.