DATA BREACH 3 - La cultura e la formazione del personale

Uno dei fattori più critici per la Cyber Sicurezza in ambienti collettivi, pubblici o privati, è la formazione dei dipendenti. La mancanza di consapevolezza in questo campo è una spina nel fianco di qualsiasi organizzazione in quanto ogni forma di negligenza può tradursi in esposizione del sistema a violazioni. Ed è tanto più grave la conseguenza quanto inattesa perché si manifesta nello spazio digitale considerato, ancora a torto, separato dalla vita reale.

Un esempio di negligenza è rappresentato dalla gestione delle password. Un’indagine inglese condotta nel 2012 ha portato al rilevamento, tramite brute force, della password di milioni di account di Linkedin. Il metodo "forza bruta" o “ricerca esaustiva della soluzione” è un algoritmo di risoluzione di un problema dato che consiste nel verificare tutte le soluzioni teoricamente possibili fino a che si trova quella effettivamente corretta. Conosciuto lo username, spesso identificabile nell’indirizzo di mail, è sufficiente eseguire delle procedure che mettono in atto in tempi brevissimi migliaia di tentativi di accesso al server dove risiedono le applicazioni da violare. Il tempo impiegato è funzione di: tempo di accesso (linee e dispositivi), la lunghezza della password e la quantità di caratteri usati.

Il grafico riporta in scala logaritmica il tempo massimo necessario per trovare la password, per una velocità di accesso pari a 10⁵/sec. I calcoli sono stati effettuati ipotizzando l’uso di caratteri alfabetici o solamente maiuscoli o solamente minuscoli (26); i caratteri alfabetici sia maiuscoli che minuscoli  (52); tutti i caratteri alfanumerici (62); aggiunta di alcuni caratteri special (80). Le diverse curve si riferiscono a diverse lunghezze della password (8, 9, 10, 15 caratteri).

Analizzando i dati si evince che il tempo necessario per trovare una password può spaziare dai pochi secondi alle ore e fino a diversi giorni, a seconda della complessità della password e del set di caratteri usati, oltre che dalla velocità di contatto. E’ questo il motivo per cui il disciplinare tecnico, allegato B della legge 196 sulla privacy imponeva che la lunghezza della parola chiave, quando prevista dal sistema di autenticazione, fosse composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetteva, dal numero di caratteri pari al massimo consentito.

Natale Castelliti