Username: uno, nessuno e centomila

L’utilizzo di diversi nomi utente per l’autenticazione sulla sterminata quantità di servizi online non è garanzia di riservatezza e protezione da parte dei malintenzionati. O per lo meno è quello che sostiene un team francese capitanato da Daniele Perito, secondo le cui ricerche dietro ogni diverso username esisterebbe un vero e proprio “naming pattern” univoco in grado di identificare l’utente.

Alla base della ricerca francese c’è l’idea che diversi username registrati dalla stessa persona tendano a essere parecchio simili tra di loro, e per provare questa teoria è stato messo a punto un software in grado di analizzare circa 10 milioni di nomi utente presenti nei database di Google, eBay e MySpace.

Dopo aver messo a punto un metodo per incrociare tra di loro le username presenti sui diversi siti , i ricercatori sono infine riusciti a risalire al singolo utente dietro le “diverse” parole chiave identificative. Il software “è in grado di scovare i nomi utenti collegati tra di loro il 50 per cento delle volte con una precisione quasi assoluta – spiega Perito – ma gli utenti tendono a scegliere e cambiare i loro username in maniera prevedibile, e tendono ad avere un piccolo set di distinti username”.

Una volta piegata agli scopi di eventuali malintenzionati (cybercriminali, spammer e altri figuri di tale risma), avvertono i ricercatori, una simile tecnologia potrebbe essere impiegata per profilare con esattezza implacabile i target di campagne di advertising indesiderato, posta spazzatura, phishing personalizzato e chissà cos’altro.

Per mostrare i risultati del loro lavoro e per rendere edotti gli utenti sui pericoli connessi all’identificazione personale in rete, i ricercatori hanno approntato un sito web da cui è possibile controllare il livello di entropia di un nome utente (indicato in “bit”) e la sua eventuale unicità – qualità che lo rende perfetto per scovare la reale identità dell’utente partendo solo dai suoi username di rete.

Alfonso Maruccia