La nuova norma sarà attiva a partire dal 2020 e renderà obbligatorie misure di sicurezza più stringenti per gli oggetti connessi a Internet.
Una legge per proibire password troppo facili e ripetute. L’hanno fatta in California, stabilendo un precedente che presto potrebbe diventare un esempio per il resto del mondo. La nuova normativa non si rivolge ai cittadini – anche perché sarebbe impossibile obbligare tutti a usare buone password – ma alle aziende che producono dispositivi di ogni genere. Oggetti che di solito hanno password banali e ripetute.
Se si compra un nuovo modem, oggi, per entrare nel suo sistema di controllo basterà inserire “admin-admin”, “admin-1234” o qualcosa del genere. Facile e comodo per il proprietario, che tuttavia dovrebbe cambiare manualmente quei dati, ma anche molto pericoloso. La maggior parte delle persone infatti non modifica questi dati, e il risultato è che chiunque può entrare. Un po’ come se chiunque per strada avesse le chiavi di casa vostra.
Questo meccanismo infatti ha generato anche parecchi problemi. Gli esempi negli ultimi anni sono stati molti e variegati: da chi è penetrato nei monitor per bambini facendo sentire voci spaventose ai più piccoli, fino alla realizzazione della botnet Mirai: un vero e proprio esercito di dispositivi connessi usato per compiere attacchi informatici.
Ebbene, a partire dal 2020 in California questo andazzo non sarà più legale. Ogni nuovo dispositivo connesso dovrà essere dotato di “ragionevoli” sistemi di sicurezza non appena lo si tira fuori dalla scatola. In particolare la norma obbliga alla password unica: vale a dire che se si compra un router con password MBEmq6o45fQD, allora quella password non sarà usata su nessun altro oggetto. Molto diverso da ciò che accade oggigiorno. Come se non bastasse, il dispositivo non funzionerà a meno che il proprietario non cambi la password – si suppone che password semplici come 123456 non saranno accettate.
La normativa californiana è rivoluzionaria sotto diversi punti di vista. In primo luogo perché assegna ai produttori di dispositivi un ruolo attivo nella sicurezza informatica globale. La produzione sarà un po’ più costosa, almeno all’inizio, ma potrebbero calare i costi legati al cybercrimine. Inoltre non è da escludere che, anche se nessuno seguisse la California, questa buona abitudine si diffonda in tutto il mondo.
Si rende la vita un po’ più difficile a chi vuole mettere a segno qualche crimine digitale, fermo restando che una buona password è una misura necessaria ma non sufficiente. Restano infatti altri possibili veicoli di attacco, vale a dire quelle vulnerabilità di cui parlano gli specialisti in sicurezza informatica. Forzare l’uso di password sicure resta comunque un notevole passo avanti.