Lug
04

L'ABC della sicurezza: come creare password robuste (e come ricordarle)

L'ABC della sicurezza 

Dopo che siti come LinkedInLastFM e eHarmony hanno subito un consistente furto di password, vale la pena approfondire l'argomento.
 
Sappiamo che almeno nel caso di LinkedIn gli hacker non ha ottenuto le password in chiaro, ma glihash SHA-1.

Che cos'è un hash?

Secondo Wikipedia, un hash è un algoritmo che mappa una stringa di lunghezza arbitraria in una stringa di lunghezza predefinita. Una modifica (accidentale o intenzionale) dei dati cambierà con molta probabilità il valore di hash (detto digest).
Le caratteristiche della funzione crittografica di hash sono:
  1. è facile calcolare il valore di hash per qualsiasi messaggio;
  2. non è possibile ricostruire il documento originale;
  3. è impossibile modificare un messaggio senza modificare l'hash;
  4. due messaggi diversi non possono avere lo stesso hash.

Quindi, come è stato possibile il furto delle password?
Evidentemente erano facili da indovinare o decodificare utilizzando algoritmi come attacchi a dizionariometodo forza bruta o tabelle arcobaleno.

Cosa può fare un sito per prevenire il cracking delle proprie password?

Oltre l'ovvio "assicurarsi di non perdere le password", può generare hash più complessi, in modo che sia difficile trovare il testo in chiaro a partire dall'hash.
Per farlo basta alterare il testo originale della password prima di creare l'hash con il processo che prende il nome di Salting. I sistemi Unix lo utilizzano da molto tempo.
Il Salting rallenta il cracking delle password, ma non lo rende impossibile.
Semplicemente rende l'operazione così costosa per gli hacker, che molti rinunciano.


Cosa devi fare TU per proteggere le tue password?

Sì

Innanzi tutto creare password più complesse, che però tu sia in grado di ricordare: non puoi scriverle su un post-it incollato al monitor o alla tastiera!
Ecco alcuni suggerimenti su come creare una password robusta e facile da ricordare:

  • usa password lunghe (alcuni siti impongono una lunghezza minima, in generale è meglio utilizzare almeno otto caratteri);
  • per ricordare una password lunga, associala a qualcosa; per esempio, per la password dell'email: sesGoga12 ("scrivo email sGmail ogni giorno alle 12");
  • oppure scrivi il nome del sito a cui corrisponde la password (Gmail: My.G-Mail.Pa$$-Word1; LinkedIn: My-Linked.In-Pa$$; Last.FM: Last1FM2Pa$$3Word...);
  • mischia lettere maiuscole e minuscole, numeri e simboli1stPa$$-wOrD (la "s" diventa "$");
  • spezza le parole lunghe in due o più parti o dividile in sillabe: "computer" diventa "com-pu-ter" (come simboli di separazione usa "-", ".", "#" o anche i numeri incrementali).

E se dimentichi la password? Assicurati di aggiornare prima le informazioni per il ripristino: inserisci un indirizzo email alternativo e una domanda a cui solo tu sai rispondere (quindi non: "Qual è il nome del tuo animale domestico", che è facile da scoprire).
Utilizza poi il numero di cellulare per l'autenticazione a due fattori e infine cambia le password regolarmente.


Cosa NON devi fare per proteggere le tue password?

No

  • Non usare parole del dizionario come: "Microsoft", nomi di persona, nomi di animali domestici, nomi di mesi o stagioni, marche di auto...
  • Non usare il tuo nome e il tuo compleanno insieme (Marco21021978).
  • Non usare password di default come: 12345qwertyabcd...
  • Non usare la stessa password per diversi siti.
  • Non chiudere il browser senza fare log-out soprattutto se il computer è condiviso.

Quali altri metodi ci sono per gestire le password?

Ci sono altri metodi, ma sono fortemente sconsigliati:

  • software di gestione delle password: un software che memorizza le password in modo "sicuro". Il problema è che alcuni software archiviano le password in chiaro (come Mozilla), con un debole MD5 o non criptate. Questo significa semplicemente spostare l'obiettivo degli hacker un passo più avanti. Il problema più grande poi è la disponibilità: cosa fai se non sei vicino al tuo computer? Chiami tua moglie/il tuo vicino/un collega e gli chiedi di accedere al computer e di dirti la password? Si spera proprio di no...
  • Carta e penna: questo metodo consiste... nello scriversi la password. Il che non è affatto sicuro, perchè chiunque potrebbe trovare quel pezzo di carta prima o poi. Sì, ci sono cassette di sicurezza e armadietti, ma fondamentalmente proteggono la password dietro una porta chiusa: se viene aperta? Hai perso tutto. Inoltre, anche questo metodo ha lo stesso problema del precedente: non è sempre disponibile.
  • Gestione delle password in the cloud: sì, esiste anche questo metodo... Ma non pensarci nemmeno! Infatti comporta troppi problemi a lungo termine e comunque risolve parzialmente il problema della disponibilità, perché ci sono sistemi che non sono collegati a Internet.

Morale: crea password complesse e imparale a memoria con i trucchi indicati sopra!

(tratto dal post di Ilaria Colombo per "AchaBlog")