Password: fattore umano

by Giuseppe Lanzi on 5 maggio 2010

passwordPostit

Anni fa svolgendo una consulenza mi hanno detto “quando hai bisogno di accedere al server chiedi a Caio che ti faccia il login”, e così ho fatto. Avrei continuato ma un bel giorno il sistema lo ha obbligato a cambiare password.

“Uffa! Ancora? Ma basta, non se ne può davvero più di questo cambiare password in continuazione! Ogni mese devo cambiare ogni password che ho e non posso neanche usare qualcosa di ricordabile, con tutte quelle stupide regole da rispettare.”

Dopo averlo detto Caio si è segnato la password su un post-it. Poi l’ha segnata di nuovo su un altro post-it, mettendo la testa fuori dal cubicolo per controllare che in giro nessuno stesse guardando proprio noi. E me ne ha dato uno.

“Tieni questa. È la mia password di rete, usa il mio utente. Se la lasci a casa o non mi trovi,  questo post-it è di fianco al monitor.”

Uscendo ho fatto caso a quanti avevano un post-it con password attaccato da qualche parte. Almeno metà ufficio. La legge ideata per proteggere i dati ha avuto l’effetto opposto: se in pausa pranzo fossi rimasto lì avrei trovato l’ufficio vuoto ed avrei avuto accesso a decine di postazioni. Nessuno se ne sarebbe accorto.

Questo mi ha fatto capire che non si può non considerare il fattore umano nello sviluppo di uno strumento, di qualunque tipo. Per proteggere le password è stata creata una legge scomoda che spinge l’utente a non pensare, considerandolo privo di intelligenza e senza condividere con lui la responsabilità. Si è ottenuto l’effetto opposto.

È più importante fare in modo che l’utente possa comprendere lo scopo dello strumento e utilizzarlo nel modo più comodo possibile, che ottenere uno strumento perfettamente funzionante. Questo vale per tutto ciò che deve essere usato da una persona, che sia un’applicazione, una procedura aziendale, un cellulare o qualunque altra cosa vi venga in mente.

Invece di costringere l’utente a regole apparentemente inutili senza dirgli perché, io avrei spiegato l’importanza di una password forte: “La tua password di rete è estremamente importante per la privacy e per la sicurezza dell’azienda. È importante scegliere una password forte, cioè difficile da scoprire. Usa una qualunque password che ottiene almeno 50 su http://www.passwordmeter.com/ e che ti è facile ricordare.”. È meglio una password sicura cambiata una volta all’anno che un post-it sul monitor cambiato una volta al mese.

Infine per considerare il fattore umano nella sua totalità bisogna tenere presente che le persone sbagliano, e qualcuno potrebbe essere tentato di mettere comunque il post-it sul monitor. Per l’errore umano l’unica soluzione è la verifica, che sia una procedura automatica piuttosto che l’incaricato al controllo-assenza-post-it poco importa.

Facciamo degli utenti il nostro vero obiettivo quando sviluppiamo applicazioni, e le applicazioni che facciamo saranno le migliori.

Picture: formalfallacy

{ 3 comments… read them below or add one }

1 Alberto Senni 5 maggio 2010 alle 16:54

110% d’accordo

2 Riccardo Bianco 6 maggio 2010 alle 09:10

Ottima prospettiva; seppur ovvio, non sempre è facile entrare nell’ordine di idee che non siamo noi gli utilizzatori del nostro software.

3 caroline 6 maggio 2010 alle 12:41

ok.
provato il giochetto sulla sicurezza delle pwd
vado a cambiarle … ;P

( grazie Beppe )

a, e tanto per condividere una cosa dolce, per un mesetto, il mio nome è stato la password di una postazione aziendale ;)
ma erano altri tempi.

Leave a Comment

Previous post:

Next post: