7 Aprile 2017

Gestire bene le password per evitare guai

Il 6 Giugno del 2016 qualcuno ha preso il controllo degli account Twitter e Pinterest di marck Zuckerberg: se la notizia suona già strana così, scoprire che tutti e due gli account avevano la stessa password e pure molto banale (dadada) è ancora più strano.

Per evitare che facciate la stessa fine di Zuckerberg, abbiamo pensato di darvi alcuni consigli.

Cominciamo dai fondamentali...

Le 3 regole d'oro per quanto riguarda le password sono:

1. Usa password lunghe e difficili

2. Cambia spesso le password dei tuoi account.

3. Usa password diverse per account diversi.

Ma, c'è un ma...

L'autenticazione tramite password è, in realtà, un sistema di protezione intrinsecamente debole. Partiamo dal primo punto.

1. usa password lunghe e difficili

Siamo abituati a consigliare l'utilizzo di password lunghe almeno 8 caratteri, comprendenti maiuscole, minuscole, numeri e caratteri speciali. Il consiglio deriva dal fatto che così si rendono più difficili gli attacchi "brute-force", attacchi nei quali un software tenta di indovinare" la password provando tutte le combinazioni.

Il "ma" in questo caso risiede nel fatto che siamo essere umani e necessitiamo di avere password che possiamo ricordarci e quindi finiamo solitamente per usare password che hanno un senso compiuto e una lunghezza limitata: se le password sono parole di senso compiuto, il brute-force è anche più semplice. Invece di tentare tutti i caratteri "a caso", l'attacco può essere portato usando dizionari, che usano appunto parole di senso compiuto. Questo restringe notevolmente il campo delle possibilità e facilita il successo del brute-force.

Oltre a questo, ai tempi non si era valutato che i software di brute-forcing potessero arrivare ad una tale capacità di calcolo da potersi confrontare con password lunghe, riducendo oltretutto il tempo necessario all'individuazione della password.

Non solo: se pensiamo che aggiungere numeri alle password ci mette al sicuro, questo è vero, ma solo in parte. Infatti aggiungere date di nascita, anniversari ecc.. è del tutto inutile, perché nell'era di Facebook e dei social in genere, sfidiamo chiunque di voi a non aver mai postato la data del vostro compleanno o anche solo una foto che vi ritrae festeggianti davanti alla torta con indicata ben in vista la vostra età.

Infine, anche il vecchio trucco di usare numeri al posto delle lettere (ad esempio il 3 al posto della E) non vale più: i dizionari dei cyber-criminali tengono ormai già conto di questa trucchetto.

2. Cambia spesso le password dei tuoi account. (Gestire bene le password per evitare guai)

Su questo punto, il furto dell'account di Zuckerberg, è istruttivo: la violazione dei suoi account è avvenuta a causa del furto delle sue credenziali Linkedin nel 2012. Zuckerberg aveva infatti usato la stessa password e email per svariati suoi account. I cyber-criminali non hanno fatto altro che ottenere credenziali del 2012 e provarle, scoprendo così che 4 anni dopo queste erano ancora valide e su più account.(Gestire bene le password per evitare guai).

3. Usa password diverse per account diversi. (Gestire bene le password per evitare guai)

Sempre più spesso si usano le credenziali rubate da altri siti per violare gli account. Il fenomeno è diventato molto preoccupante anche a causa della pubblicazione nel dark web (anzi, è più corretto parlare di vendita nel dark web) di database di credenziali rubate da Adobe, Linkedin, MySpace, Tumblr ecc..

Per sapere se le vostre credenziali possono essere state rubate o meno, un sito utile è haveibeenpwned.com, dove potrete verificare se la vostra mail è ricompresa in qualche database di account dei quali è stato segnalato il furto.

Gestire bene le password per evitare guai

Nella foto il numero di account di cui si è denunciato il furto, divisi per servizio, nel 2016 e ospitati sul sito haveibeenpwned

Tutto questo serve a fare un bilancio assolutamente realistico della sicurezza delle vostre password: le tre regole d'oro valgono e sono la forma minima di sicurezza che dovrete tenere di conto se vi preme la sicurezza dei vostri account.

Qui vi consigliamo alcuni strumenti utili:

1. Usa un password manager

cioè un software che permette di memorizzare le credenziali di accesso ai vari servizi e le inserisce automaticamente quando serve. Non servirà ricordarsi molte password, ma anzi, una sola, la master password che permette l'accesso al programma.

2. Usa un generatore di password (Gestire bene le password per evitare guai)

esistono software che possono produrre password molto molto complesse e quindi, almeno potenzialmente, più resistenti ad attacchi da brute-force. Di solito la generazione di password è una caratteristica già ricompresa nei password manager.

3. Usa l'autenticazione a due fattori (Gestire bene le password per evitare guai)

se ogni tanto capita di dover usare computer occasionali (in biblioteca, università, negli internet point) dovremmo aprire il password manager su quei pc per avere le nostre password. In questo caso corriamo un rischio gravissimo, ovvero il rischio del furto della master password.

In questo caso adottare il sistema di autenticazione a due fattori riduce molto il rischio. Ci sono molte modalità: la scansione dell'iride o delle impronte digitali, il riconoscimento facciale/vocale, ma il metodo più facile e diffuso è il ricorso allo smartphone. In questo caso basta avere un software che genera codici univoci in maniera periodica e che li invia via sms: per ogni sessione di lavoro sul password manager riceverete via sms un codice diverso da affiancare alla master password e senza il quale non sarà possibile accedere al gestionale delle password (Google Authenticator è un esempio di questo tipo di software).