Sicurezza e la gestione delle Password in ufficio - III parte

 

Continua da Sicurezza e la gestione delle Password in ufficio II° Parte.

 

Per le 4 regole da tenere in considerazione quando si sceglie una password rimando alle puntate precedenti.

Ma abbiamo detto che le quattro regole valgono prevalentemente per attacchi brute-force portati da software automatizzati che "provano" migliaia o decine di migliaia di password al minuto fino a trovare la giusta combinazione di lettere e numeri.

Se pensiamo solamente ai nostri account sparsi per la rete (web-mail, facebook, twitter, ecc.), vi è da aggiungere che gli stessi gestori dei server adottano, comunque, degli accorgimenti idonei a interrompere l'ingente flusso di richieste che un robot potrebbe causare, mettendo subito in allarme il sistema e negando ulteriori accessi. Con ciò un attacco di quel tipo viene interrotto salvando la nostra password.

Visto dalla prospettiva dell'hacker, le possibilità di violare una parola chiave, a questo punto, devono passare attraverso altri medoti. Come ad esempio la cosiddetta ingegneria sociale (dall'inglese social engineering).

Da definizione wikipedia "un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire". Questa attività si svolge fuori rete o dentro la rete ed ha a che fare con l'attività sociale che ogni persona quotidianamente svolge. Si tenta di approfondire la conoscenza della persona della quale si ha necessità di violare la password per carpire eventuali segreti o, semplicemente, conoscere la data di nascita (che può essere sempre una buona parola chiave) o il nome del proprio cagnolino o gattino, della figlia, della prima fidanzata, ecc. Sempre tutte potenziali parole chiave (una parentesi per chiarire che spesso oltre che della password c'è necessità di conoscere l'account, per la qual cosa l'ingegneria sociale vale a maggior ragione).
Si arriva a rovistare nella spazzatura in cerca di foglietti o a fare telefonate facendo finta di essere il gestore del server o l'amministratore di sistema.
Casi eclatanti descritti dalla cronaca parlano di hacker (o cracker) che diventano degli "amiconi" delle ignare vittime e vi fanno un lavorio che dura settimane o mesi (certo bisogna essere ben motivati) sia nel mondo reale che, soprattutto, in rete.
Amicizie che, magari, improvvisamente portano il malcapitato a subire ricatti pesantissimi come ad esempio "ho una tua foto pornografica, se non mi riveli la password del Tuo account facebook la pubblico nel mio sito" ecc.
E magari, quell'account facebook era soltanto una mossa di un lungo gioco molto più complesso attraverso il quale si mirava ad avere qualcosa di più da qualcun'altro.
Cose che non sono impossibili da realizzare contro chi usa stare al PC nottate intere, con il sonno che riduce il livello di attenzione (e di guardia) e sfalsa il senso della realtà.

Insomma, cose pesanti, che magari poco interessano i più ma che potrebbero invece costituire dure realtà per persone che ricoprono posizioni di responsabilità o detentori di password di account importanti. Cose, ripetiamo, già successe come si comprende leggendo qualche libro sulle attività dei cracker più maligni.

Come si è capito, in casi come questi, ai fini della sicurezza, sfornare una buona password ha poco peso e rilevano attenzioni ben diverse.


Ma andiamo avanti. Ulteriori metodi vengono utilizzati per carpire parole chiave, sempre con l'inganno, come il phishing o il pharming attack.
In poche parole attraverso inganni informatici l'utente si ritrova ad inserire i propri dati, account e password, in una pagina finta (cosiddetta fake) che simula in modo perfetto o quasi la pagina della propria banca, del proprio sito gestore di posta elettronica, ecc. L'ignaro utente inserirà i propri dati in questa finta pagina ma non farà altro che consegnarli ad un ente terzo che li userà nel peggiore dei modi.
Certo che se la barra di indirizzi fosse lasciata con il vero indirizzo potremmo notare, ad esempio, una denominazione anomala, come ad esempio un country-code (nell'ultima parte dell'indirizzo web) errato. Se mi collego alla mia Banca Popolare dell'Emilia Romagna (ne ho presa una a caso ma che si presta perché ha ancora l'indirizzo ben visibile) e vedo che l'indirizzo riporta www.bper.ru anziché .it, certo dovrei preoccuparmi e direi che dovrei avere la quasi certezza di trovarmi di fronte ad un fake.
Ma al giorno d'oggi gli indirizzi sono quasi tutti "corretti" per renderli più leggibili e questa correzione può ingannare.


Altri metodi più ingenui mirano a farti iscrivere a destra e a manca pensando che la password utilizzata sia la stessa che è stata utilizzata in altri account più importanti. E qui si apre un altro capitolo, anzi è il caso di scrivere la quinta regola, anche se non l'avevo previsto nelle puntate precedenti.

Quinta regola: non usare continuamente la stessa password per tutti gli account (né continuare ad utilizzare lo stesso account).

E' vero, è più facile, ma ne va della sicurezza dei nostri dati. Se poi si proteggono dati di terzi la questione è ancora più delicata. Anche se è comodo è senz'altro una diffusa quanto brutta abitudine utilizzare la stessa password per ogni nostro account.
Perché? Perché può capitare che uno dei servizi ai quali accediamo possa avere una falla e una volta scoperte le credenziali di accesso l'hacker li userà per tentare l'accesso ad ogni altro nostro account (sempre cose successe nella realtà); all'hacker gli sembrerà di essere finito nel paese di bengodi quando tentando di accedere in ogni dove di vostra pertinenza realizza di avere porte aperte ovunque.


La password, infine, andrebbe cambiata di frequente. Così almeno suggerisce il Codice sulla protezione dei dati personali, il quale richiede che la password sia modificata dall'utente "al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi".
Questo genera grande confusione, e genera anche la giusta domanda: dopo avere finalmente trovato la perfetta ed inattaccabile lunga parola chiave e impiegato due mesi per memorizzarla, ora la devo buttare? Perché mai dovrei farlo? E se devo moltiplicare questo sforzo per tutti gli account che gestisco la cosa è impossibile!!

A parte l'invito del Codice Privacy, effettivamente non vedo grande utilità nel variare frequentemente la parola chiave. Forse un appiglio di utilità potrebbe essere dato nel ragionare su questo: potrei non essermi ancora accorto che qualcuno è entrato abusivamente nel mio account. Io non mi accorgo di niente ma l'intruso potrebbe già spiare i miei contenuti o essere in fase di studio sul come crearmi danno. Se cambio password lo frego e deve ripartire da capo e non è detto che riesca più ad entrare.


Comunque sia, la gestione della password, come si è visto, necessità di alcune attenzioni. In particolare è il caso di creare un proprio metodo organizzativo o gestionale, che sia sicuro e pratico al contempo. Se è vero, come è vero, che la moderna società tecnologica ci costringe ad avere più credenziali e se queste credenziali devono essere frequentemente modificate, allora non resta altra strada che prendere atto della cosa e organizzarci.

Personalmente c'è stato un punto nel quale mi sono reso conto che non riuscivo più a ricordare le mie tante password. Mi sembrava un incubo e non era la vecchiaia ad incombere. Quando mi sono deciso a scriverle in un quaderno mi sono reso conto che stavo utilizzado una trentina di account con password solo di rado ripetute e mi sono reso conto che non potevo continuare in questo modo.

Ogni operatore di sistema che si rispetti detiene un Registro delle Parole Chiave e credo sia un'ottima idea adottarla anche in ufficio. L'Amministratore di sistema, inoltre si deve prendere la responsabilità di gestire l'assegnazione ed il cambio delle password. Nel piccolo ufficio e negli account personali, tuttavia, la metodologia non cambia.
Ritengo che il quaderno (o registro o block-notes) delle password sia un valido strumento mentre personalmente non mi sono mai fidato dei programmi che promettono di aiutarti nella gestione degli account. Se si imposta la ricerca in un qualunque motore di ricerca con le parole "password manager" ci si rende conto di quanti prodotti, gratuiti o a pagamento, ci sono sul mercato. Ma non mi fido.

Il quaderno, ovviamente, va protetto, magari messo in cassaforte per chi ce l'ha o, comunque, sotto chiave. Ciò ci permetterà di cambiare rilassati le nostre 30 password ogni tre mesi senza dover frequentare un corso per il potenziamento della memoria.