Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
Password sicure: le regole cambiano. Ecco come
Tutte le precauzioni che usiamo di solito sono ormai obsolete. Ecco come dovrebbe essere la password del futuro.
Aspettando che i sistemi di identificazione biometrici (dalle impronte digitali al riconoscimento dell’iride passando per il riconoscimento vocale) dimostrino la loro efficacia e raggiungano la maturità per sostituire i metodi tradizionali, la classica accoppiata username e password rimane il sistema più abbordabile.
Una volta appurato che non ci sono alternative praticabili alla cara vecchia password, resta il problema di quali regole e accorgimenti scegliere per assicurarsi di confezionarne una abbastanza sicura da resistere ai tentativi di violazione dei cyber-criminali.
I canoni a cui ci siamo ispirati fino a oggi, infatti, stanno mostrando tutti i loro limiti. La dimostrazione è il fatto che un gruppo di ricercatori sia riuscito a violare 320 milioni di password protette da hash in una manciata di giorni.
Ad affrontare il problema ci ha pensato G Data, che in un post pubblicato su Internet anticipa quelle che potrebbero essere le nuove linee guida per creare e gestire una password sicura.
Il punto di partenza è il superamento delle vecchie regole, come confermato anche da un funzionario dell’Istituto Nazionale degli Standard e delle Tecnologie (NIST) americano, che ha “chiesto scusa” per aver tartassato gli utenti con obblighi che non servono più a garantire la sicurezza delle password.
L’autocritica prende le mosse prima di tutto dalle valutazioni sul rapporto tra sicurezza e lunghezza della password. Un tema che non è nuovo e che molti esperti hanno affrontato negli ultimi mesi (anni?) sollevando dubbi sull’efficacia della logica per cui una password lunga e complessa sarebbe più sicura.
In primo luogo perché una password con queste caratteristiche è terribilmente difficile da ricordare e gli utenti costretti a utilizzarla finirebbero invariabilmente per appuntarsela da qualche parte (magari sul classico post-it appiccicato sul monitor) frustrando qualsiasi velleità di proteggere le credenziali.
In teoria una password lunga e composta da caratteri, numeri e simboli casuali sarebbe molto sicura. Ma chi diavolo riesce a ricordarsela?
In secondo luogo perché, rispetto a un tempo, software e hardware utilizzati dai cracker si sono notevolmente evoluti e sono in grado di scardinare anche password complesse in tempi tutto sommato accettabili.
Sul banco degli imputati anche l’idea che sia indispensabile cambiare la password periodicamente. La critica a questo dogma (di cui abbiamo già parlato in questo articolo) ha a che fare ancora una volta col rischio che gli utenti non riescano a ricordare la password o che finiscano per sceglierne una molto simile alla precedente proprio nel timore di dimenticarsela.
Meglio piuttosto, spiegano dalle parti di G Data, cambiare la password solo quando ci sono indizi che sia stata scoperta in qualche modo. Certo: questo significa mettere in campo una rivoluzione copernicana nelle policy di sicurezza, facendo riferimento per esempio a un monitoraggio di quanto accade sul Web controllando siti come HaveIBeenPwned per capire se le password utilizzate siano state coinvolte in qualche leak su larga scala.
Anche per quanto riguarda la complessità, passi in avanti possono essere fatti modificando le classiche regole per la definizione delle password. Di solito, per esempio, i sistemi di registrazione non ammettono alcuni caratteri speciali (come gli spazi) che permetterebbero agli utenti di creare password altrettanto complesse ma più facili da ricordare, per esempio usando intere frasi.
Smetterla, poi, di pensare che fissare regole estremamente rigide possa portare a qualche vantaggio. Sorvolando su casi assurdi come quello di cui abbiamo riferito riguardante la Piattaforma Rousseau del Movimento 5 Stelle (in cui pare le password non possano essere più lunghe di 8 caratteri) anche quelle che sembrano più sensate (e che fissano un limite minimo al posto di un surreale limite massimo) rischiano di essere controproducenti.
L’abitudine di imporre un numero minimo di 8 caratteri, per esempio, ha una serie di effetti indesiderati. Primo: la maggior parte degli utenti sceglie password composte esattamente da 8 caratteri (tra quelle individuate nel caso di cui abbiamo parlato la scorsa settimana erano oltre il 30%) rendendo la vita più facile ai pirati informatici.
I calcoli per individuare una password di cui si può supporre a priori la lunghezza, infatti, sono molto più agevoli di quelli necessari per individuare una password dalla lunghezza sconosciuta.
In secondo luogo, il fatto che le date di nascita siano composte esattamente da 8 caratteri (ggmmaaaa) rischia di diventare una tentazione irresistibile per gli utenti che vogliono scegliere un a password facile da ricordare.
Per quanto riguarda la protezione delle password sui server, le regole sono sempre le stesse: mai memorizzarle in chiaro ma utilizzare sempre un sistema di codifica che complichi la vita a eventuali pirati informatici che riescono a introdursi nei sistemi.
La sicurezza della password dipende anche da chi gestisce i server su cui ci dobbiamo autenticare. Hashing e salting sono indispensabili per evitare che un’intrusione possa trasformarsi in un disastro.
Sotto questo profilo, il sistema di protezione migliore è l’hashing, che a differenza della crittografia rappresenta una procedura a senso unico (è impossibile individuare una chiave che permetta di ricavare tutte le password) e che, pur non essendo insuperabile, è un ottimo argine a eventuali attacchi.
Indispensabile anche il salting, che “allunga” le stringhe e rende ancora più complicati i calcoli per ricavare le password dagli hash eventualmente sottratti al sito.
La stessa importanza dovrebbe avere l’implementazione di un sistema di autenticazione a due fattori, che obblighi gli utenti a utilizzare, insieme alle classiche credenziali composte da username e password, un ulteriore strumento di verifica come un codice univoco generato da smartphone o token per accedere ai servizi.
In questo ambito, precisano gli esperti di G Data, bisogna fare qualche distinguo. In particolare riguardo l’uso degli SMS come strumento di autenticazione a due fattori, che in molti casi hanno mostrato qualche limite in termini di affidabilità a causa del rischio che vengano intercettati o estorti attraverso malware o altre tecniche di attacco.
Resta valida, invece, la regola che impone di non usare la stessa password per più servizi. Il motivo (lo abbiamo ripetuto decine di volte su queste pagine) è che se un pirata informatico riesce a mettere le mani sulle nostre credenziali di accesso a un sito Internet, per esempio violandone i server, potrà provare di usarle anche per altri servizi. Se abbiamo usato la stessa password, siamo fregati.
Condividi l'articolo
Toast message su Android: attenzione a cosa premiamo sullo schermo
La vulnerabilità in Struts travolge i prodotti Cisco: bug in 42 prodotti
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata...
Ransomware: la serie
No posts found.
2 thoughts on “Password sicure: le regole cambiano. Ecco come”