Vai al contenuto
Vai al menu di navigazione
Vai all'indice del modulo

L’IMPORTANZA DELL’IDENTITÀ IN INTERNET

UserId e Password

L’utilizzo di un identificativo utente, anche detto user Id, e di una password è sicuramente il più classico e datato meccanismo d’autenticazione informatico.

Formalmente, l’inserimento dello userId consiste nell’identificazione dell’utente mentre l’inserimento della password costituisce il vero elemento di autenticazione.

In generale, lo userId può essere scelto dal sistema all’atto della registrazione, o comunque avere dei forti vincoli di formato, mentre la password è sempre scelta dall’utente e, nei sistemi più “critici”, può avere dei vincoli sulla lunghezza e sui caratteri di cui può essere composta.

Dal punto di vista della sicurezza, la scelta della password è un elemento chiave per la “robustezza” dell’autenticazione: lo userId non è solitamente un’informazione riservata e un utente che voglia spacciarsi per qualcun altro potrebbe, iterando il processo, tentare di “indovinare” la password.

Più la password è lunga, più l’approccio di ricerca esaustiva, anche definito di “forza bruta”, è oneroso; tuttavia una lunghezza elevata da sola non basta: se i differenti caratteri utilizzati sono pochi, come ad esempio l’insieme dei numeri romani, i tentativi che un malintenzionato deve effettuare non sono eccessivi e, mediante procedure automatiche, realizzabili in poco tempo.

Un'altra strategia utilizzata per reperire le credenziali di autenticazione prende il nome di “attacco del dizionario” ed è basata sull’utilizzo di parole comuni o comunque di senso compiuto: se la password scelta dall’utente legittimo è semplice, oppure è una composizione di parole facilmente indovinabili, in breve tempo e con un numero limitato di tentativi è possibile indovinarla, aggirando dunque il meccanismo di protezione.

In generale, è buona norma utilizzare password di almeno 8 caratteri, composte da caratteri dell’alfabeto, numeri e, preferibilmente, segni d’interpunzione. Nella composizione della password non si dovrebbero mai utilizzare parole di senso compiuto, elementi presenti anche nello UserId, riferimenti diretti o indiretti al servizio per il quale quest’ultima è chiamata in causa, date inerenti anniversari importanti per l’utente o nomi propri.

Cambiare la password periodicamente, ad esempio con cadenza mensile, è inoltre utile sia in quanto, indipendentemente dalla sua complessità, essa può sempre essere “indovinata” con un approccio di forza bruta sia perché, in alcuni casi, essa può essere intercettata all’atto dell’immissione o durante il transito sulla rete.