Gestire password sicure.
Il decreto legislativo n. 196, denominato "Codice in materia di protezione dei dati personali" ai più noto come legge a tutela della privacy, prevede, per chi fà trattamento di dati personali, l'entrata in vigore di una serie di obblighi nella gestione della sicurezza informatica.
Tralascio di elencarli tutti, tipo aggiornamenti software, univocità dello username, obbligo di non comunicare a terzi le proprie credenziali, e mi soffermo su quanto previsto per la gestione delle password.
Riporto di seguito cosa prevede l'allegato B. del decreto, allegato denominato "Disciplinare tecnico in materia di misure minime di sicurezza":
La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.


A fronte di tale decreto, spesso le aziende scelgono di implementare una policy per tutti i propri utenti che impone una scadenza della password ogni 3 mesi, al fine di avere la certezza di adempiere pienamente agli obblighi di legge, inoltre applicano spesso livelli di complessità della password che obbligano a comporla inserendo:
1.        Segni di punteggiatura;
2.        Caratteri numerici;
3.        Almeno un carattere alfabetico in maiuscolo.
Aggiungiamo che in diversi casi è fatto obbligo di non poter riutilizzare la stessa password, in quanto il sistema memorizza ed inbisce l'uso delle ultime 5 utilizzate, o che le password inizino e si concludano con caratteri alfabetici in minuscolo.
Detto questo è purtroppo normale che molte persone si trovino in difficoltà nel comporre e ricordare la propria password. Non è raro il caso in cui la si appunta su un qualche supporto cartaceo, a tutto rischio della sicurezza auspicata dal legislatore e dall'azienda.
Ora vi faccio un'esempio di una password che può rispetti le specifiche più restrittive di composizione:
ibvzMh+20a

Vi sembra impossibile da ricordare?
In realtà no. E' composta da una serie di caratteri che sono le iniziali di una frase per me semplice da ricordare. Io sono un appassionato di fumetti, in particolare quelli dell'editore Bonelli. Uno dei personaggi Bonelli più longevi (dopo l'intramontabile Tex Willer) è Martin Mystère, ha abbondantemente superato i vent'anni di pubblicazioni e viene spesso denominato "Il buon vecchio zio Marty". Da qui è derivata la mia password di esempio, che ho reso più complessa espandendo la frase come segue:
i
l buon vecchio zio Marty ha + di 20 anni

Partendo da questa frase, che diventa la base, posso utilizzare delle varianti per i prossimi cambi password obbligatori, potrei farla diventare ibvzMh>20a o ibvzMh+24a e così via.

In definitiva, ognuno di noi può utilizzare una frase che facilmente ricorda, perche legata ad una propria passione, a qualche affetto, o altro da cui derivare una password, basta un pò di fantasia ed un semplice trucchetto per rendersi la vita più semplice.

18/4/2007
Dario Marradi

Tags :  Sicurezza  Tecnologia 

|
Commenti : (1)

1) Gestire password sicure.
Damiano Bramati 04/24/2007 2:52:37 PM

Alan Lepofsky, noto blogger su Notes e Domino, ha scritto sul suo blog un breve articolo che conferma la bontà della tua tesi. { Link }

Autore
Dario Marradi

Dario Marradi