Due ricercatori di Microsoft Research, Stuart Schechter e Cormac Herley, insieme a Michael Mitzenmacher dell'Harvard University, sono gli autori della pubblicazione "La popolarità è tutto: un approccio nuovo per proteggere le password dagli attacchi basati sul calcolo di probabilità".

Il paradigma esposto è il seguente: dato un sistema di autenticazione in cui la password viene scelta dall'utente, ed essendo questo sistema sufficientemente grande per servire un cospicuo numero di utenti (e quindi di password) — si parla in pratica di servizi su scala internet come AOL, Facebook, Google, ecc. — tutte le password inserite nel sistema vengono raccolte e catalogate da un apposito "oracolo".

Questo oracolo valuta ogni nuova password che gli utenti propongono e decide se accettarla oppure no. La decisione dell'oracolo avviene sostanzialmente sulla base della popolarità della password: se una password è già stata utilizzata da un numero sufficiente di persone, non è più utilizzabile e viene rifiutata.

E' evidente come questo sistema ribalti completamente i concetti attualmente adottati dalle policy di sicurezza. Il tutto nasce da una considerazione molto semplice: quando gli amministratori di sistema invitano gli utenti ad aumentare l'entropia delle password — facendole più lunghe e utilizzando caratteri speciali — gli utenti, per facilitare la memorizzazione, utilizzano tecniche ormai assodate (nel peggiore dei casi scrivendo lunghe frasi di senso compiuto, nel migliore eseguendo prevedibili sostituzioni come "a con @" o "e con &") che non migliorano affatto la situazione.

Inoltre, se è vero che un account può essere disabilitato quando si cerca ripetutamente di forzarlo con password sbagliate, oggi gli assalitori hanno una valida alternativa: invece di tentare milioni di password su un singolo account, tentano le password più comuni su milioni di account, avendo la certezza di trovare, prima o poi, la serratura per la loro chiave.

Al contrario, il sistema di Microsoft Research raggiunge due importanti obiettivi: in primo luogo limita il numero di password che possono essere indovinate ragionando per probabilità; inoltre, pone un freno alla quota di utenti che tendono a utilizzare le password più diffuse. A tal proposito mi sembra utile far riferimento a un nostro articolo del gennaio scorso, nel quale una ricerca di Imperva raccoglieva le combinazioni di caratteri più comunemente utilizzate sul Web, e i cui risultati erano, dal punto di vista della sicurezza, veramente demoralizzanti.

Poiché l'oracolo, per la funzione che svolge, rappresenta anche un punto debole del sistema (gli attaccanti lo possono usare anche per trovare le password più utilizzate), i tre ricercatori lo hanno dotato di una protezione, una struttura dati già esistente, nota come count-min sketch, che restituisce una percentuale minima accettabile di falsi positivi, allo scopo di confondere chi lo consulta senza autorizzazione.