Sicurezza e la gestione delle Password in ufficio - II parte

 

Continua da Sicurezza e la gestione delle Password in ufficio.


Rivediamo i principi che abbiamo elaborato nella puntata precedente: 1) mai usare parole banali o di uso comune, perché qualcuno potrebbe indovinare la nostra password andando a caso e 2) la password deve contenere tipologie di caratteri diversi, vale a dire lettere, numeri e caratteri speciali. Per caratteri speciali si intendono quelli che si trovano sulla tastiera del nostro PC e che non sono numeri o lettere. Anche i caratteri accentati potrebbero essere contiderati caratteri speciali, ad esempio visto dal punto di vista di uno statunitense che userà, eventualmente, l'apostrofo o "apice" per accentare.

Esiste un altro sito interessante, questa volta della Microsoft, che ci permette di testare quanto sia "solida" la nostra password. La pagina è la seguente: www.microsoft.com/it-it/security/pc-security/password-checker.aspx.
Questa volta non viene evidenziato il numero di secondi (o millisecondi) che si impiegherà a craccare la parola chiave con un attacco brute-force ma viene indicata con diversi colori la solidità della stessa. La Microsoft ci fa un breve sunto delle caratteristiche ottimali di una password con questo paragrafo: "L'efficacia di una password dipende dai tipi di caratteri utilizzati, dalla lunghezza complessiva e dalla sua presenza in un dizionario. La lunghezza deve essere di almeno 8 caratteri."

Come si vede non fa che riassumere quanto abbiamo già detto e aggiunge un ulteriore elemento ... la lunghezza complessiva!

Vediamo quanto conta. Riprendendo dalla prima parte di questo articolo la parola chiave che avevamo visto "resistere" per ben 3 giorni, cioè "Amor3Mio", potremo verificare sul sito della Microsoft che questa parola chiave è pur sempre considerata "weak" cioè debole. Effettivamente 3 giorni non sono poi molti.
Tuttavia, basta aggiungere uno spazio e l'anno e diventa immediatamente "STRONG" Eccola: "Amor3Mio 2013". Questa è una password a prova di bomba.

Perché? L'unica cosa che cambia è la lunghezza complessiva. E' evidente che dopo avere complicato la vita al robot con i caratteri speciali, l'uso di maiuscole e minuscole, l'ultima risorsa disponibile è la lunghezza della parola.
Anzi provando e riprovando con il prova-password della Microsoft mi sembra che sia proprio la lunghezza il parametro preso maggiormente in considerazione per certificare la solidità della parola chiave e, a mio avviso, ciò costituisce una pecca che fa propendere come miglior tester il sito visto nella puntata precedente.

Quindi, terza regola: la password deve essere lunga, almeno 12, meglio 14 caratteri o più.


L'ultimo ostacolo pare rimanere quello umano, vale a dire la difficoltà a ricordare lunghe password complicate.
Ma anche qui c'è rimedio. Il fatto che si chiami parola chiave è una convenzione e, nonostante la parola, la nostra password potrà essere anche una frase, anzi è meglio che sia un frase. Questo ci da la possibilità di ricordare facilmente una lunghissima "parolachiave" che per un robot è tanto difficile da craccare quanto una astrusa lunga sequenza di caratteri strani.
Allora password come "Casa dolce casa" diventa una parola chiave STRONG, come "mi-piace-nuotare" [carino notare che proprio questa ultima passwod mi-piace-nuotare diventa craccabile, secondo il sito howsecureismypassword, in 505 million years !!!]

Faccio notare che lo spazio fra una parola e l'altra, per un PC è un carattere speciale.

Quindi formuliamo la quarta e ultima regola per una password sicura: la password può essere una frase, con lo spazio fra una parola e l'altra o un altro carattere speciale.


A questo punto abbiamo fatto scacco matto alle potenzialità computazionali di un robot che ponga sotto attacco i nostri files o i nostri accounts. Vi è da dire che, in ogni caso, i gestori dei server, ad esempio, utilizzano anche ulteriori misure contro questo tipo di attacco e spesso non è così rilevante avere password a prova di brute-force-attack.
In sostanza, la vita dell'hacker può essere facilmente resa più dura, come abbiamo visto. Ma proprio perché, in fin dei conti, è così semplice, proprio gli hacker ricorrono a strategie alternative.

Di queste parleremo nella

terza e ultima parte di questa chiacchierata.