Sicurezza e la gestione delle Password in ufficio - I parte

E' un vecchio discorso, ma ogni tanto vale la pena riaffrontarlo.

Quanto sono sicure le nostre password, quelle che usiamo in ufficio e quando accediamo ai servizi on-cloud, oppure entriamo nelle nostre pagine dei social? Quanto impiega un malintenzionato ad aprirci i nostri contenitori, le nostre piccole casseforti dove sono custoditi dati, immagini, magari dati sensibili o economicamente rilevanti?

E' chiaro, nessun sistema informatico è sicuro al 100%, questo lo hanno dimostrato gli ultimi 10 anni di attacchi hacker, ma almeno cerchiamo di rendere difficile la vita a chi vuole accedere ai nostri dati.

Allora: quanto è sicura la nostra password? Il Codice della Privacy impone un limite si sicurezza, nel famoso Allegato B, qualora prescrive che "la parola chiave, quando è prevista nel sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito". Fra parentesi .... è chiaro che il nostro buon vecchio Codice della Privacy denota ormai i suoi ben 10 anni. Si prescrive un numero ottimale di 8 caratteri e qualora il sistema non arrivi ad un tale numero (evidentemente era considerato allora auspicabile) almeno doveva essere il massimo del numero (inferiore a 8) di caratteri consentiti dalla casella di testo del campo password. Da allora i sistemi di protezione delle parole chiave hanno fatto dei decisi passi in avanti.
E' evidente che per il codice Privacy la password "patata" ad esempio non corrisponde ad uno standard sicuro. Ma, invece, la password "amoremio" oppure "password" oppure "pomodoro" è perfettamente di 8 caratteri. Ma è una buona idea, voglio dire, è una buona password "amoremio"?

Gli hacker hanno da tempo capito, esaminando i centinaia di database craccati, che la gente usa spesso le stesse parole. Si è visto, in sostanza, che parole come "patata" o "amoremio" sono proprio quelle spesso utilizzate dagli utenti informatici. Stesso dicasi per le cifre delle date di nascita (per inciso sempre di 8 caratteri, come ad esempio 01012013).Provando le 40 o 50 parole chiave più diffuse si ha una buona probabilità di accedere al sistema. Non solo. Le hanno anche catalogate queste parole e sono riposte in alcuni database, i database delle parole chiave più utilizzate, dai quali attingere per provare ad entrare nel sistema in modo più veloce. E' ben vero che queste raccolte sono sostanzialmente in inglese e contengono password in tale lingua, ma non dubito che ci siano anche analoghe raccolte in italiano.
Il motivo per cui si fa riferimento a parole semplici è ovvio, la mente umana ha necessità di ricordare tale password e cerca una parola facile da ricordare. Il problema, lo abbiamo visto, è che le parole facili da ricordare sono sempre le stesse!

Quindi, prima regola: mai usare parole banali o di uso comune.


Qualcuno più furbo questo lo aveva capito da tempo e aveva anche capito che più una password è difficile da ricordare più è sicura. Quindi, questo tipo di utente informatico, dotato di ottima memoria, usa password come "gdeuygqp". E' un ragionamento corretto? Dipende.
Una password corrispondente ad una parola di uso comune è facile da ricordare e rintracciare per un umano. Ma se chi cerca è un robot?
(Fra parentesi: si intende per robot un software addestrato a ciò. Più precisamente il software, con un attacco denominato "brute-force attack" proporrà al sistema da violare, a ripetizione, tutte le combinazioni possibili di caratteri con la velocità tipica del software. Decine di migliaia di password in pochi secondi!)
In proposito potremmo fare un piccolo esperimento e accedere al sito "http://howsecureismypassword.net/" (quanto è sicura la mia password). Potremmo allora scoprire che per un software la parola "gdeuygqp" è altrettanto appetibile che "amoremio". Non fa alcuna differenza e questa geniale parola chiave verrà scoperta in 52 secondi!! Tanto quanto "amoremio".

La pagina del sito "how secure is my password" è veramente interessante perché ci fa capire, per tentativi, quali sono i rimedi (le contraeree) da utilizzare contro questo tipo di attacco. Ad esempio la password "01012013" verrà scoperta in due decimi di secondo, praticamente all'istante.
Perché? Perche i numeri sono meno delle lettere. A fronte di 10 cifre (da zero a nove), le lettere dell'alfabeto sono 21 o più se l'alfabeto è non italiano. Le combinazioni possibili, pertanto, aumentano e l'attacco dovrà essere molto più lungo. Si passa da due decimi di secondo a 52 secondi. Ma provate a scrivere "AmoreMio" al posto di quello con solo minuscole. Siamo già passati a 3 ore dai 52 secondi. Il motivo, ormai, è chiaro. La maiuscole raddoppiano il numero delle lettere, non più 21 ma 42 elevando a potenza il numero delle combinazioni possibili.
Più si inseriscono caratteri di tipo diverso più si ostacola l'attacco.
Quindi "Amor3Mio" diventa craccabile in 15 ore (si aumenta sempre di più) e se aggiungiamo i caratteri speciali rendiamo al robot la vita veramente dura. Provate "Amor3Mi-". Risultato 3 giorni!!

Quindi, seconda regola: la password deve contenere tipologie di caratteri diversi, meglio tutti, vale a dire lettere, numeri e caratteri speciali.
 

 

Vedi seconda parte dell'Articolo