[The password saga] Quando scatta il cronometro?

Confessiamolo: questa storia dell’hacking di Lastpass.com (ad esempio qui e qui) ha fatto correre un brivido lungo la schiena di moltissimi di noi. Sia di chi usa regolarmente quel servizio, sia di chi non lo usa. Non voglio focalizzarmi sugli aspetti tecnici della questione, quando condividere una riflessione che mi ritrovo spesso a fare quando mi si chiede perché non memorizzo il mio file di password cifrato su uno spazio storage in cloud, in modo che sia facilmente accessibile da tutti i miei dispositivi.

Per rispondere a questa domanda sposto sempre l’attenzione su un fattore che è spesso ignorato: il tempo. Sulla robustezza degli algoritmi di cifratura non posso mettere bocca, non sono un matematico così bravo da poterne immaginare una eventuale forzatura e/o rottura. Diciamo che mi fido della comunità tecnica che, al momento, asserisce che sono molto difficili da infrangere e che, eventualmente, l’operazione richiederebbe molto tempo e molte risorse. Il punto è proprio questo: le risorse, a mio modesto avviso, si possono anche trovare. Specialmente se invece di pensare al solito malvivente ipotizziamo che il ruolo del “cattivo” lo rivesta una organizzazione (uno stato??!!) che vuole spiare tutto e tutti. In questo scenario non credo sia molto difficile recuperare le risorse tecniche necessarie. Rimane il fattore tempo. Per misurarlo, però, abbiamo bisogno di capire quando far partire il cronometro. E qui entra a gamba tesa il dubbio che sempre mi ronza in testa: come faccio a sapere se il mio file delle password (cifrato, strasicuro, quello che volete) è stato copiato da qualche altra parte e da chissà quanto tempo è oggetto di tentativi di scassinamento? Penso che se accettassi di memorizzare le mie password in un dispositivo che non ho sotto il mio controllo fisico vivrei una falsa sicurezza: penserei che nessuno abbia accesso ai miei dati cifrati e, qualora riuscisse a recuperarli (senza che io me ne possa accorgere), penserei che ci vorrebbe tanto tempo per decifrarli.  Rimane un solo problema sul tavolo: sapere da quanto tempo è scattato il cronometro.

 

Leave a Comment

Filed under cloud, Sicurezza

Rispondi