Home Page Riflessioni.it
Riflessioni sulle scienze

Riflessioni sulle Scienze

di Alberto Viotto    indice articoli

 

L'identità personale ai tempi del Web

Febbraio 2011

  • A prova di memoria

  • Cambiate la password!

  • E la sicurezza?

  • Basta chiedere

  • Una password unica

  • Chi garantisce?

  • Il furto di identità

Chi sono io tutti lo possono sapere
Ma il mio cuore solo io lo posseggo
Wolfgang Goethe

 


Password - L'identità personale ai tempi del WebChi sono io? Il problema dell’identità personale può assumere aspetti paradossali ai tempi del Web. Se voglio aprire un account su Facebook con una identità completamente inventata, ad esempio, nessuno mi controlla o mi impedisce di farlo, a meno che voglia appropriarmi della identità di qualche persona famosa. Come si fa allora a garantire che “io” sia proprio io?

 

A prova di memoria

Il sistema più comune per garantire l’identità è di associarvi un codice o una password. In questo modo, però, la quantità di codici che ognuno di noi dovrebbe ricordare ha raggiunto livelli intollerabili. Nel mio caso, probabilmente simile a molti altri, sono:

  1. La password per la posta elettronica su hotmail

  2. La password per Facebook

  3. La password per il network di contatti professionali Linkedin

  4. La password per il forum di riflessioni

  5. Il codice Bancomat

  6. Il codice della carta carburante

  7. Il codice per il prelievo di contanti della carta di credito

  8. Due codici per il conto bancario on-line

  9. La password per gestire i punti MilleMiglia Alitalia

  10. La password per gestire i punti American Express

  11. La password per scaricare gli estratti conto Telepass dal Web

  12. La password del sito Enel

  13. La password per entrare nella rete aziendale

  14. La password per inviare le richieste di rimborso delle note spese

  15. La password per leggere il cedolino dello stipendio

ed è probabile che ne abbia omesso qualcuno.

Anche se a volte la password o il codice vengono imposti (come nel caso del Bancomat), spesso li possiamo scegliere e si potrebbe pensare di risolvere il problema usando sempre la stessa password. Ma non è così semplice: per evitare l’utilizzo di password facili da indovinare, come la data di nascita o il nome della moglie, ogni servizio impone dei criteri particolari, ad esempio richiedendo la presenza di numeri e caratteri speciali, l’assenza di parole di senso compiuto, una lunghezza minima e massima. Questi criteri, però, sono diversi da servizio a servizio: c’è chi richiede una lunghezza massima di sei caratteri, chi una lunghezza minima di otto, chi impone regole che costringono all’utilizzo di password del tipo di “!%£kYz8” e chi accetta regole meno stringenti, per cui si possono usare password “civili” come “rosa2”. In questo modo, usare sempre la stessa password diventa pressoché impossibile.

 

Cambiate la password!

Una ulteriore vessazione degli utenti, che rende ancora meno praticabile l’idea di usare una password unica, è l’obbligo di cambiarla dopo un certo periodo. Di solito le reti aziendali richiedono che ogni due o tre mesi la password venga modificata, mentre altri servizi possono avere scadenze diverse. Se si è riusciti ad avere ovunque la stessa password “universale”, che cosa fare quando un servizio richiede di cambiarla? Modificare contemporaneamente tutte le altre password è improponibile. Si potrebbero avere più password “universali”, per passare alla successiva alla scadenza di ogni servizio, ma anche questo porterebbe rapidamente ad una situazione ingestibile, perché dopo un po’ di tempo le password sarebbero comunque tutte diverse.

 

E la sicurezza?

Tutte queste vessazioni inflitte agli utenti garantiscono forse un elevato livello di sicurezza? In realtà, più le password sono numerose e difficili da ricordare, meno sono sicure, perché gli utenti non hanno altra scelta che scriverle tutte su un foglietto di carta tenuto nel portafoglio. In questo modo, ad esempio, se ci rubano il portafoglio i ladri possono trovare sia la tessera bancomat che il relativo codice. Mi capita spesso di vedere dei tecnici che devono conoscere le complesse password di reti aziendali ad alta sicurezza tenerle in bella vista sul desktop del loro PC. Nonostante tutto non me la sento di biasimarli: probabilmente sono costretti a ricordarsi una ventina di password che continuano a scadere in date diverse.

 

Basta chiedere

Il modo più efficace per scoprire le password altrui è molto semplice: basta chiederle. Sono sempre più frequenti, ad esempio, i messaggi di posta elettronica che simulano l’aspetto di comunicazioni di banche o istituzioni finanziarie e dicono che, per motivi di sicurezza, è necessario che l’utente modifichi il proprio codice di prelievo dei contanti. Se l’utente “abbocca”, gli si chiede di introdurre il vecchio codice prima di impostare il nuovo. Inutile dire che il codice non viene affatto cambiato e quello vecchio, ancora valido, può essere usato dai pirati informatici. (1)

 

Una password unica

Sarebbe molto comodo dover ricordare una sola password ed usarla su tutti i siti Internet, per i prelievi bancomat o con carta di credito, per scaricare l’estratto conto del Telepass e per ogni altra esigenza. Una organizzazione riconosciuta da tutti i fornitori di servizi potrebbe autenticare centralmente un utente, dare ad ogni fornitore la garanzia della sua identità e trasmettergli tutte le informazioni necessarie, come l’indirizzo ed il numero di carta di credito.

Da un punto di vista tecnico le cose funzionano così: in seguito alla richiesta di un utente la struttura di autenticazione gli trasmette un “cookie” (un dato memorizzato dal browser) crittografato e con una scadenza temporale, dal quale i fornitori sono in grado di risalire alla sua identità in maniera del tutto sicura. Le tecniche di crittografia odierne possono garantire un livello di sicurezza elevatissimo.

 

Chi garantisce?

E quale dovrebbe essere questa organizzazione riconosciuta da tutti? Nel mondo pre-Internet la garanzia della identità era data dalla carta d’identità o dal passaporto, rilasciati dallo Stato. E perché tra i compiti di uno Stato non ci dovrebbe essere anche la garanzia dell’identità digitale?

Le nuove carte di identità elettroniche contengono un microchip esattamente come le carte di credito e sono già predisposte per l’autenticazione sicura presso sistemi automatici e per la firma digitale (2). Il loro utilizzo potrebbe essere esteso e generalizzato. I servizi forniti da tutte le carte elettroniche che dobbiamo portare con noi potrebbero diventare servizi aggiuntivi collegati all’autenticazione principale della carta d’identità elettronica; potremmo usarla per prelevare ad un Bancomat o per pagare l’hotel. La società delle carte di credito assocerebbe tutte le sue informazioni non più alla propria carta, ma alla carta di uso universale.

Anche sul web, quando si crea un nuovo account di posta elettronica o di Facebook, si potrebbe sfruttare l’autenticazione fornita da un sito centrale dello Stato, utilizzando la password fornita al momento dell’emissione della carta d’identità, che ovviamente dovremmo poter modificare a nostro piacimento.

In questo modo si avrebbe una sola carta ed una sola password, ed anche sul web si potrebbe essere sicuri che una persona è proprio chi pretende di essere.

 

Il furto di identità

Questo approccio porta con sé dei rischi: se una sola carta serve per tutto, se la rubano i rischi sono notevoli. Anche adesso, però, se ci rubano i documenti di identità cartacei o le carte di credito dobbiamo immediatamente fare una denuncia. Annullare la vecchia carta e richiederne una nuova (ed una nuova password) sarebbe molto più semplice di quanto avviene ora che abbiamo a che fare con molte organizzazioni.

In realtà il rischio sarebbe minore: ci sarebbe una sola possibilità di essere derubati e ce ne accorgeremmo immediatamente. Adesso, se ci se ci rubano uno dei tanti Bancomat o carte di credito o carte fedeltà, o accedono alla nostra posta o al nostro profilo di Facebook, potremmo metterci un po’ di tempo ad accorgercene, perché è difficile tenere tutto sotto controllo.


   Alberto Viotto

 

Se qualche lettore trovasse questo articolo interessante o ne volesse discutere, all'autore farebbe piacere ricevere delle e-mail all'indirizzo: alberto_viotto@hotmail.com

 

NOTE

1) http://web.tiscali.it/alberto_viotto/newspam.pdf
2) http://it.wikipedia.org/wiki/Carta_d'identit%C3%A0_elettronica_italiana

 

Altri articoli di Alberto Viotto

 

Alberto Viotto offre gratuitamente due suoi Ebook:

 

Come ti fregano
Analisi dei meccanismi del marketing ed altri trucchi

 

"Da mattina a sera, sui giornali, sulle televisioni, sul web,  siamo sommersi da messaggi pubblicitari che sembrano pensati per un pubblico di semideficienti. Naturalmente il circo del marketing ha un costo, che ricade sull’ambiente ma anche su di noi, costretti a pagare di più i prodotti che ci servono (circa 400€ in più in media su ogni auto nuova).
Di chi la colpa? Ahimè, è nostra, perché compriamo i prodotti pubblicizzati; se la pubblicità non facesse aumentare le vendite i produttori smetterebbero di  tormentarci. Un rapido esame dei meccanismi del marketing ci può aiutare ad immunizzarci."

Achille e la tartaruga e altri paradossi

 

"Una nuova e più elegante soluzione al paradosso più famoso. Altri celebri enigmi (il sorite, il cretese mentitore, il gatto quantistico, la stanza cinese) affrontati da un punto di vista non convenzionale".


I contenuti pubblicati su www.riflessioni.it sono soggetti a "Riproduzione Riservata", per maggiori informazioni NOTE LEGALI

Riflessioni.it - ideato, realizzato e gestito da Ivo Nardi - copyright©2000-2024

Privacy e Cookies - Informazioni sito e Contatti - Feed - Rss
RIFLESSIONI.IT - Dove il Web Riflette! - Per Comprendere quell'Universo che avvolge ogni Essere che contiene un Universo