Crittografia e usabilità: quanto costa la complessità?

crittografia

Uno studio pubblicato da McAfee ha stimato in 400 miliardi di dollari il costo globale degli attacchi informatici e dei data breach occorsi nel 2014, in larga parte riconducibili ad errori umani che rendono inefficaci protezioni e meccanismi di sicurezza. Sebbene la crittografia sia estremamente efficace nel garantire riservatezza e integrità dei dati, la complessità di fruizione degli strumenti sicuri ne mette a rischio la robustezza. E’ infatti facile individuare numerose occasioni in cui il rispetto delle regole di sicurezza complica le azioni che quotidianamente ciascuno di noi deve compiere: basti pensare alla necessità di utilizzare password difficili da ricordare e che vanno rinnovate periodicamente, oppure al bisogno di ricorrere a tecniche di autenticazione a due fattori che, per ogni accesso, richiedono l’inserimento di password e codici ricevuti tramite SMS o token crittografici. Il rischio connaturato in questa complessità è tanto più elevato al crescere del numero degli utenti che devono affrontarla, e al numero di servizi che questi devono impiegare.

Perché l’uso della crittografia è così complesso?

Fino agli anni ‘90 la crittografia era per lo più confinata ad ambiti militari o domini altamente specialistici. Gli utenti che ne facevano uso erano esperti, di conseguenza era lecito aspettarsi che fossero in grado di seguire scrupolosamente procedure lunghe, macchinose e controintuitive, ma necessarie a garantire la sicurezza dei sistemi. Questo presupposto non è più accettabile nel momento in cui, grazie alla pervasività delle tecnologie, la crittografia diventa la base per numerosissimi servizi di uso comune, che vanno dall’home banking alla messaggistica istantanea, regolarmente utilizzati da utenti con livelli di esperienza e competenza tecnica estremamente diversificati. Inoltre, negli ultimi anni sono cambiati significativamente i dispositivi utilizzati per accedere ad Internet, sia in contesti lavorativi che nel tempo libero: se anni fa si utilizzavano principalmente desktop o computer portatili, oggi si preferiscono smartphone e tablet, da cui è spesso molto difficile o, quanto meno, è poco pratico eseguire procedure articolate o utilizzare strumenti come delle VPN.

La sicurezza di un sistema è spesso considerata un requisito non funzionale, ovvero una caratteristica che, come la stabilità, è talmente scontata da rappresentare un vincolo. Eppure, tipicamente i processi necessari ad implementarla non sono disegnati in modo da risultare trasparenti all’utente, e spesso risultano poco integrati rispetto all’operatività del sistema. Questo a volte comporta un carico di lavoro aggiuntivo per gli utenti, che aggirano i meccanismi di sicurezza compromettendone l’efficacia, ad esempio salvando le proprie password nei browser di macchine condivise, oppure fingendo di aver dimenticato la password e delegando così la sicurezza del meccanismo di autenticazione alla robustezza della propria casella email. Inoltre, le segnalazioni dei potenziali pericoli, come la presenza di un certificato SSL scaduto o non valido, sono spesso poco chiare e quindi ignorate o percepite come messaggi inutili.

Sicurezza usabile: best practice e linee guida

Gli ultimi anni sono stati caratterizzati da un crescente interesse verso l’usabilità della sicurezza, che ha portato ricercatori ed esperti di settore a proporre una serie di linee guida e best practice:

  • limitare le decisioni da parte dell’utente in merito di sicurezza, ad esempio automatizzando gli aggiornamenti oppure offrendo strumenti, come il Software-as-a-Service o i programmi che si eseguono in una sandbox, che consentono di non preoccuparsi di eventuali malware presenti nei file su cui si lavora;

  • far sì che sia semplice per l’utente prendere la decisione giusta, analizzando i processi ed i contesti in cui si utilizza il sistema per adattare i meccanismi di sicurezza e gli strumenti per attivarli;

  • promuovere decisioni coerenti e consistenti, per aiutare gli utenti a mantenere un comportamento corretto e semplice da replicare.

Le linee guida suggerite richiedono una continua e approfondita analisi di tutti gli elementi che definiscono e influenzano l’esperienza dell’utente con il sistema: le sue convinzioni, la sua competenza tecnica, la sua conoscenza dei potenziali pericoli che caratterizzano l’ambito in cui opera. Questi elementi, assieme alla conoscenza del contesto, dei processi di dominio e delle modalità operative, sono essenziali per progettare e realizzare meccanismi di sicurezza in grado di adattarsi all’utente e di integrarsi perfettamente nei sistemi di cui devono far parte.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here