Anche se l’utilizzo di una complessa parola chiave è una buona idea, questo approccio è efficace solamente in casi delimitati.
È infatti ormai dimostrato che una parola chiave complessa offre protezione zero nel caso il data base di un sistema informatico, che archivia le parole chiave degli utenti, venga compromesso. Questa parola chiave può essere utilizzata su migliaia di siti Web e milioni di tentativi possono essere fatti nel giro di alcuni minuti. Poiché molti utenti utilizzano la stessa parola chiave per accedere a numerosi siti, la probabilità che l’attacco vada a buon fine è molto elevata. Per cui, la realtà è che l’utilizzo delle sole parole chiave non è sufficiente per proteggere un profilo di accesso, e anche l’utilizzo di parole chiave complesse poche garanzie offre circa il livello di protezione dagli attacchi.
Il problema è particolarmente sentito nell’accesso ai siti Web, che raramente offrono una autentica a due livelli (ad esempio abbinando l’utilizzo della parola chiave ad un codice che viene inviato per SMS).
Ciò premesso, una valida parola chiave deve essere generata utilizzando delle regole semplici, perché sia facile da ricordare. Un consiglio assai valido riguarda la memorizzazione dei versi di una poesia. La parola chiave è costituita dalle prime lettere delle prime parole della poesia. Anche l’utilizzo di due parole chiave, il cui abbinamento abbia un senso solo per l’utente che le ha scelte, può costituire un valido approccio. Se poi una di queste parole viene convertita in numeri equivalenti, tanto di guadagnato.
Un altro aspetto da tenere sotto controllo, in fase di cambio della parola chiave, è legato alla modifica sostanziale della parola chiave (e non solo alla modifica dell’ultimo numero o lettera!). Infatti, la realtà mostra che una frequente cambio della parola chiave induce l’utente a riutilizzare la stessa parola chiave con minime modifiche.
Ormai è sempre più diffuso il convincimento che la parola chiave non sia più sufficiente ed occorra utilizzare tecniche più evolute, anche senza arrivare ad una delle tecniche più pratiche e raffinate, come appunto il riconoscimento biometrico. Ecco perché si raccomanda di studiare attentamente la possibilità di attuare tecniche chiamate 2FA- autenticazione a due fattori, oppure MFA - autenticazione a più fattori.
Oggi sono disponibili degli applicativi che permettono di effettuare una rapida valutazione del livello di sicurezza di una parola chiave e questi applicativi dovrebbero essere sempre a disposizione degli utenti.
È importante che, in fase di sensibilizzazione, si spieghi all'utente coinvolto quali possano essere le gravi conseguenze di una violazione di una parola chiave e di un accesso illecito a dati di interesse aziendale o addirittura a dati personali. In questo senso, il nuovo regolamento generale 679/2016 rappresenta un prezioso elemento di sensibilizzazione degli utenti.