HCI-Sec: la sicurezza passa anche dalla Human Interface
Anche se non è immediato, è chiaro che la sicurezza informatica passa anche per la HCI (Human Computer Interaction). Il modo in cui sono progettati i sistemi di sicurezza influenzano in maniera sostanziale l'efficacia dei suddetti.
Facciamo un esempio? Come ricorda il blog della sicurezza di Sophos, far scadere le password in modo cadenzato, senza motivo, non ha più senso. Anche le vecchie "regole" iniziano a decadere, come i caratteri richiesti. Meglio frasi lunghe, meglio 2FA e altre tecniche più user-friendly.
Per un utente ricordarsi una password complessa, composta da lettere maiuscole e minuscole, caratteri speciali e numeri, è molto complesso: finisce per scriverla su un post-it vicino al monitor, sotto la tastiera e/o finisce ad usare sempre la stessa password (cambiando, ad esempio, un solo carattere finale, spesso con il numero).
L'autenticazione a due fattori, quando necessaria, rende il sistema molto più resistente: la conoscenza della sola password non basta, serve anche avere qualcosa dell'utente (spesso il telefono).
Inoltre dovremmo configurare i sistemi di autenticazione per essere molto più intelligenti: dovrebbero essere capaci, come fanno alcuni (Google in testa), di distinguere i PC utilizzati in passato e spesso, e fare controlli ulteriori sugli accessi non usuali (IP, orario, posizione geografica). Un po' come alcune banche fanno con gli acquisti con le carte: se c'è un movimento fuori dal "normale" per l'utente in questione, lo chiamano chiedendo se è tutto nella norma. Se l'operazione è fraudolenta, può essere bloccata immediatamente.
L'eccesso di controlli, di barriere di accesso, specialmente di tutti quei controlli invasivi, portano gli utenti a trovare delle "scorciatoie" che, di fatto, bypassano (passatemi il termine) il livello di protezione e sicurezza desiderato. La sicurezza deve diventare un processo trasparente, deve richiedere (da parte dell'utente) meno interazione possibile.