Cos'è ElectroYou | Login Iscriviti

ElectroYou - la comunità dei professionisti del mondo elettrico

11
voti

Password sicure o non sicure?

Indice

Premessa

Ognuno di noi ha a che fare con le password, a volte chiamate PIN = Personal Identity Number se numeriche, sia a livello personale che a livello di attività lavorativa. Si tratta di qualcosa di piuttosto fastidioso, un prezzo che la tecnologia attuale ci costringe ancora a pagare. E’ vero che da anni esistono altri mezzi di identificazione, quali i Token (che producono le OTP= One Time Password) che ci danno le banche, i metodi “bio” e forse altri che adesso mi sfuggono. Quindi c'è stato qualche progresso significativo nel mercato dell’autenticazione. Tuttavia questi metodi hanno finora una diffusione assai limitata, e, specie quando si tratta di soldi che girano, la preoccupazione di quanto sicura sia la transazione con il sito web del momento (o con lo sportello bancomat, ma su quello possiamo fare poco) non ci lascia mai del tutto tranquilli.

Forse alla fine la password sparirà del tutto. Ma finché questo non accadrà, e nessuno pare sia in grado di fare previsioni, le password continueranno a perseguitarci.

Ho pensato allora di riportare in modo sintetico alcune considerazioni tratte da vari articoli pescati sul web.

Quanto sicure sono le password che inventiamo?

Ogni anno la californiana SplashData Inc. pubblica la classifica delle peggiori password del mondo, che negli ultimi cinque anni non è cambiata molto. Mentre guardare quella lista può essere divertente, è certo più istruttivo cercare di capire perché quelle password esistono.

Dal cracking di un elenco di password trapelato alla Darknet nel 2015, emergono subito due osservazioni. La prima è che le persone hanno usato la facilità di memoria come criterio per la creazione della password: ma nessuno ha detto loro che la tecnologia odierna ha reso obsoleto questo criterio.

L'altra osservazione ci mostra che gli esseri umani sono davvero incapaci a generare la casualità. Non riusciamo a creare una password casuale, ossia tale che qualcuno, dotato di un dizionario e un insieme di regole appropriate, non possa craccare.

Esistono anche siti web che danno una valutazione della sicurezza di una password, ma già il sottoporla è un atto poco sicuro…

Le peggiori password del mondo


La tabella che segue contiene le 25 peggiori password del mondo secondo SplashData:


Le password nella tabella sono esempi comici di sicurezza “password based” eppure, anche se alterate un po', alcune di esse passeranno il test di molte delle Policy di sicurezza utilizzate dalle organizzazioni di tutto il mondo.

Tali policy possono apparire sensate: le password devono essere X caratteri di lunghezza (di solito 5-8, a volte più lunghe), utilizzando un mix di entrambe le lettere maiuscole e minuscole, numeri e caratteri speciali.

Le policy sono, nelle intenzioni, progettate per proteggere i beni aziendali e gli utenti, ma sono facilmente eludibili da hacker esperti e da un software di cracking delle password. Queste policy sono poi le stesse che le persone utilizzano al di fuori dell'ufficio per creare le proprie password, e ancora una volta sono vulnerabili allo stesso modo.

MMO Kings

Alla fine del 2015, qualcuno ha compromesso il database MMO Kings. I dati trapelati includevano gli hash delle password MD5, che, attaccati al testo in chiaro, risultano essere il modo peggiore possibile per memorizzare le password in un database. Come è noto lo hash è una sorta di riassunto di un testo, ottenuto tramite un particolare algoritmo irreversibile.

MMO Kings è un sito web che permette ai giocatori (come quelli su World of Warcraft) l'acquisto di oro o altre valute in-game per denaro reale.

“Ho preso gli hash trapelati e ho fatto un po’ di cracking utilizzando Hashcat su KaliLinux. Kali Linux. Dopo che le password sono state craccate, ho eseguito alcune analisi statistiche usando Pipal (creato da Robin Wood) e Passpal (creato da T. Alexander Lystad.

Dopo aver rimosso 22.324 hash duplicati, ne sono rimasti 67.547 da craccare. A testimonianza della debolezza delle password comuni, come quelle evidenziate da SplashData, e della debolezza della generazione di password “casuali” (ossia quelle che a noi sembrano tali) ci sono voluti meno di tre minuti per rompere il 74  %degli hash. In meno di un'ora, avevamo rotto 54.473 hash, ovvero circa l'80  % della lista. Una seconda pulizia ha rimosso una sola password vuota, così come 556 password. Vale la pena notare che all'interno del set rimosso, sono stati 20 gli account che hanno usato un indirizzo email come password, una cosa che non si dovrebbe mai fare. Tutto ciò ha portato a una lista di 53.917 password da esaminare”, dice l’autore dell’articolo.

Password esaminate

Delle password esaminate, il 76  % conteneva 1-8 caratteri, quindi solo il 24  % erano più lunghe di 8 caratteri.

Come nota a margine, 11.593 password recuperate utilizzavano un massimo di 6 caratteri.

Password così corte possono essere facilmente recuperate con gli strumenti e l'hardware moderno. Allora si può pensare forse che quegli account non erano di importanza essenziale per l'utente, visto che aveva scelto come password qualcosa di personale, breve e facile da ricordare. Ma è veramente così?

La maggior parte delle password recuperate include date, mesi o giorni della settimana: la natura personale di queste password corte è quasi scontata. L'elenco delle “parole-base” e le statistiche relative dimostrano che la gente sta ancora utilizzando le regole di un tempo per la creazione della password. Quindi il problema non sono le password deboli, ma le metodologie di costruzione e le politiche che le governano.

Le password con un minimo di otto caratteri, lettere maiuscole e minuscole, numeri e simboli erano alla base delle regole di creazione valide fino a dieci anni fa. Ma ormai queste regole sono superate. Di nuovo, in 45 minuti abbiamo rotto l'80  % della lista usando le parole-base e le regole di cracking comuni, con una modalità ben lontana da un “lavoro” professionale. Tuttavia, ogni giorno i professionisti del cracking delle password di tutto il mondo usano lo stesso set di strumenti che abbiamo usato noi, perché nulla di più forte è necessario. Questo è certamente un problema”.

Costruire una password migliore

Quando si tratta di sviluppare una politica di password per un'organizzazione o per se stessi, la cosa fondamentale da ricordare è che la perfezione non è di questo mondo. Non riusciremo mai a sviluppare una password perfetta, impossibile da decifrare. Gli esseri umani sono capaci di fare molte cose a caso, come mostrano le cronache di tutti i giorni, ma non riescono a pensare deliberatamente oggetti casuali, la cui probabilità di occorrenza sia cioè la più bassa possibile.

Anche dopo molti sforzi creativi per la nostra password, se ha abbastanza tempo e risorse, qualcuno o qualcosa sarà in grado di craccarla. La chiave di tutto è rendere tale processo costoso in termini di tempo e “fatica”.

Si legge, per quanto riguarda lo sviluppo di applicazioni e la protezione tramite password, che le organizzazioni farebbero bene a seguire il consiglio di OWASP, che prospetta tra l’altro limiti sul set di caratteri e le lunghezze massime (fino a 160 caratteri).

Si legge anche che per essere meno attaccabili le password dovrebbero essere “salate” e si dovrebbe utilizzare una "funzione adattativa" a senso unico, come ad esempio PBKDF2, scrypt o bcrypt. Non mi sono dato la briga di cercare cosa si intende per “funzione adattativa”, mentre ho trovato che un “sale” è una stringa di caratteri random di lunghezza fissa, forte dal punto di vista crittografico.

Al di là di tutto questo, pare che la via più facile sarebbe quella di utilizzare un gestore di password.

Perché un gestore di password?

La regola seguente è stata un tormentone pubblico per anni: è necessaria una lunga password generata in modo casuale per ogni sito web su quale si dispone di un account. Però ricordare password così costruite è quasi impossibile e così per molte persone è più facile prendere una singola password – una che viene ritenuta sicura - e usarla ovunque.

Ecco che qui inizia il problema. Utilizzare la stessa password, o una sua variazione, su più siti web non è una buona prassi, perché nel momento in cui un account è compromesso, anche tutti gli altri vengono messi a rischio.

I gestori di password rimuovono l'obbligo di ricordare lunghe stringhe di caratteri casuali. Eliminano anche i problemi con la casualità durante la fase di creazione, perché creano per noi una password veramente casuale. Dopodiché tutto quello che c’è da fare è ricordare una sola password “principale”, dalla quale si generano tutte le altre.

Generazione di una solida password principale

Ma anche generare una buona password principale non è proprio semplice. Un modo fortemente consigliato è quello di utilizzare Diceware.

Nel 1995, Arnold Reinhold ha sviluppato Diceware come un mezzo per aiutare la gente a creare password PGP forti e facili da ricordare. C'è tutta una scienza dietro Diceware, che ne garantisce l’efficacia.

Si inizia con una lista di parole e per ottenerla si lanciano cinque dadi (a sei facce). Ogni lancio corrisponderà ad una parola nella lista. L'obiettivo è quello di ottenere almeno sei parole, ma otto è meglio (per ora). . Meno di sei è rischioso. Se non si desidera utilizzare una password Diceware, e si preferisce creare la propria, il SANS le linee guida è un buon punto di partenza.

La cosa migliore oggi è utilizzare un gestore di password anche per generare una password casuale e lunga per ogni sito web su cui si ha un account. E’ bene utilizzare una password principale che sia lunga, come ad esempio una frase assolutamente senza senso.

Personalmente trovo abbastanza sicuro (ma non so quantificare la sicurezza) generare una password utilizzando le lettere iniziali o finali dei nomi di un gruppo di persone o di oggetti che mi sono familiari, magari sostituendo alcune lettere con simboli equivalenti come $ e &.

Le minacce sono anche interne

Altri aspetti che riguardano le password sono legati alla sicurezza interna di aziende e organizzazioni e sono presenti in molte forme. Una delle più difficili da contrastare è il dipendente disposto a vendere le password aziendali.

Un sondaggio su 1.000 dipendenti in aziende di grandi dimensioni (oltre 3.000 lavoratori) ha evidenziato che un dipendente su sette venderebbe la propria password a un estraneo per $ 150. Questo non è un problema nuovo e $ 150 sono, relativamente parlando, un sacco di soldi. Un altro sondaggio condotto nel Regno Unito nel 2012 ha evidenziato che quasi la metà degli intervistati avrebbe venduto le proprie password aziendali per meno di 5 sterline, mentre il 30% le avrebbe vendute per appena 1 sterlina.

Una domanda ovvia è: perché una minoranza di lavoratori rischierebbe di perdere il posto di lavoro solo per un paio di dollari?

Christopher Frenz, director of IT infrastructure at Interfaith Medical Center ha detto che alcuni lavoratori potrebbero non rendersi conto di quanto siano importanti le loro password aziendali "Ciò è particolarmente vero se i dati che gestiscono sul lavoro non vengono normalmente considerati sensibili in quanto probabilmente non riescono a capire che il loro account può fornire una porta che può essere utilizzata per ottenere l'accesso a dati più sensibili tramite escalation dei privilegi e metodi simili ".

Qualsiasi password di meno di 10 caratteri, che sia una parola vera e propria, anche in scritta al contrario, con un paio di lettere maiuscole, è come una porta aperta per hacker con competenze minime e dotati del software giusto. Ma offrire le password in vendita agli hacker rende loro la vita più facile, in quanto elimina la necessità di dover tentare anche due o tre volte di ottenere l'accesso, un'anomalia che le stesse contromisure di sicurezza potrebbero considerare come sospetta.

Alla ricerca di una soluzione

Qualunque sia il loro valore sul mercato, un gruppo relativamente nuovo - il FIDO (Fast IDentity Online) Alliance - dice che è un motivo in più per eliminare le password del tutto.

Secondo il suo vice Presidente Ramesh Kesanupalli, "gli utenti aziendali che vendono le password dimostrano ancora di più quanto l'autenticazione password-centrica sia rischiosa."

Eppure, anche con credenziali di autenticazione molto più sicure rispetto alle password, se le persone sono disposte a vendere le loro, il problema rimane; o forse potrebbe essere anche peggiore, in quanto tali credenziali diventerebbero probabilmente più preziose.

Questo, dicono gli esperti, significa che la necessità di sensibilizzazione alla sicurezza informatica è essenziale. Come lo è, ad esempio, far scadere le password e cancellare quelle dei dipendenti non più presenti in azienda; cosa che sembrerebbe ovvia, ma vi assicuro che nella grande azienda di telecomunicazioni in cui ho lavorato per alcuni anni, questo non succedeva…

La buona notizia, comunque, è che anche se la gente volontariamente vende o compromette le loro credenziali, le innovazioni nel campo della scienza dei dati e dell’apprendimento automatico stanno migliorando il rilevamento precoce delle violazioni.

Combinata con una migliore formazione e con la consapevolezza che occorre prendersi cura dei dipendenti scontenti, questa può essere la migliore difesa. Per altro verso, le password hanno un grande vantaggio rispetto ad altre, più sicure, forme di autenticazione, come la biometria: una volta compromesse, sono molto più facili da cambiare.

9

Commenti e note

Inserisci un commento

di ,

Di password veramente importanti (transazione di denaro, ecc) si contano sulla punta delle dita, le altre lasciano il tempo che trovano. Secondo me invece è importante mettere come paletto il numero di tentativi fino al blocco dell'account. Per quanto riguarda la scadenza delle password aziendale, beh il 90 % ne usa massimo 2 alternandole.

Rispondi

di ,

Forse "cervelloni" è un termine leggermente spinto, ma non ho trovato altri modi di descrivere in italiano "una persona che controlla un URL dove va a mettere la password", perché al momento la crittografia non è una maniera infallibile, ma richiedere direttamente al soggetto la password non è una cosa impossibile ;)

Rispondi

di ,

Continuo ad augurarmi che il prima possibile si arrivi ad utilizzare su tutti i dispositivi il riconoscimento biometrico al posto delle password. Me lo auguro perchè non riesco più a memorizzarne sempre di nuove e così complesse. L'ultima che creai per accedere al sito fornitori del mio cliente NASA a Palo Alto CA doveva essere di 16 caratteri, contenere almeno una maiuscola , un numero un segno di punteggiatura. Le domande di sicurezza per il recupero della medesima erano 8 diverse selezionabili da un elenco di 16 tipologie imposte. Alla fine me la sono scritta su un post-it appiccicato alla tastiera e come sicurezza per non perderla, ho usato anche lo scothc.

Rispondi

di ,

Scusami EdiJ su quale criterio basi la tua stima della percentuale di 80-85% ? Sembrerebbe risultarne l'esistenza del 15-20 % di "cervelloni", il che a ma a pare un po' ottimistico....

Rispondi

di ,

Nessuna password è infallibile quando esistono metodi per aggirare direttamente l'utente senza che quest'ultimo se ne accorga, a patto che non sia un vero e proprio cervellone, quindi si potrebbe stimare che un 80-85% di persone sia facilmente attaccabile.

Rispondi

di ,

E' tutto "spiegato" qui: https://xkcd.com/936/

Rispondi

di ,

Tutti i relativamente giovani possiedono almeno una trentina di password, non tutte ovviamente della stessa importanza; infatti molte permettono l'accesso a siti internet. Credo che la semplicità di memorizzare queste password poco importanti sia confortata dal fatto che ci si chieda a chi interesserebbe davvero venirne a conoscenza e per far cosa poi (dati personali sensibili). Il problema generalmente si presenta dove vi sia una transazione di denaro; in quei casi la password non effettivamente non si ritiene mai troppo sicuro. Si spera sempre non capiti a me.

Rispondi

di ,

Questo articolo interessante porta a fare un po' di autocritica, non c'è che dire e penso sia anche il suo scopo :) Per quanto mi riguarda, quando devo inventare/rinnovare una password che sia solida uso il seguente trucco: apro un documento txt e, dopo aver chiuso gli occhi, premo con i soli indici (o con uno solo) dei tasti a caso sulla tastiera; dopo averla "memorizzata" con sicurezza, chiudo il txt senza salvare; finora non è mai uscita alcuna password che contenesse qualche analogia al suo interno

Rispondi

di ,

La password più divertente l'inventò un mio compagno di scuola delle superiori. Per accedere al software in sala multimediale ( corso di inglese ) aveva digitato 'content1'. Sembrava qualcosa riguardante l'inglese ma lui aveva in mente un'altra cosa ............. 'CONTENTONE'. Era un ragazzo molto felice.

Rispondi

Inserisci un commento

Per inserire commenti è necessario iscriversi ad ElectroYou. Se sei già iscritto, effettua il login.