Cybersecurity

L’ABC della sicurezza: come creare password robuste (e come ricordarle)

20 Giugno 2013

Dopo che siti come LinkedIn, LastFM e eHarmony hanno subito un consistente furto di password, vale la pena approfondire l'argomento.
Sappiamo che almeno nel caso di LinkedIn gli hacker non ha ottenuto le password in chiaro, ma gli hash SHA-1.

Password

Che cos'è un hash?

Secondo Wikipedia, un hash è un algoritmo che mappa una stringa di lunghezza arbitraria in una stringa di lunghezza predefinita. Una modifica (accidentale o intenzionale) dei dati cambierà con molta probabilità il valore di hash (detto digest).
Le caratteristiche della funzione crittografica di hash sono:

  1. è facile calcolare il valore di hash per qualsiasi messaggio;
  2. non è possibile ricostruire il documento originale;
  3. è impossibile modificare un messaggio senza modificare l'hash;
  4. due messaggi diversi non possono avere lo stesso hash.

Quindi, come è stato possibile il furto delle password?
Evidentemente erano facili da indovinare o decodificare utilizzando algoritmi come attacchi a dizionario, metodo forza bruta o tabelle arcobaleno.

Cosa può fare un sito per prevenire il cracking delle proprie password?

Oltre l'ovvio "assicurarsi di non perdere le password", può generare hash più complessi, in modo che sia difficile trovare il testo in chiaro a partire dall'hash.
Per farlo basta alterare il testo originale della password prima di creare l'hash con il processo che prende il nome di Salting. I sistemi Unix lo utilizzano da molto tempo.
Il Salting rallenta il cracking delle password, ma non lo rende impossibile.
Semplicemente rende l'operazione così costosa per gli hacker, che molti rinunciano.


Cosa devi fare TU per proteggere le tue password?

Sì

Innanzi tutto creare password più complesse, che però tu sia in grado di ricordare: non puoi scriverle su un post-it incollato al monitor o alla tastiera!
Ecco alcuni suggerimenti su come creare una password robusta e facile da ricordare:

  • usa password lunghe (alcuni siti impongono una lunghezza minima, in generale è meglio utilizzare almeno otto caratteri);
  • per ricordare una password lunga, associala a qualcosa; per esempio, per la password dell'email: sesGoga12 ("scrivo email su Gmail ogni giorno alle 12");
  • oppure scrivi il nome del sito a cui corrisponde la password (Gmail: My.G-Mail.Pa$$-Word1; LinkedIn: My-Linked.In-Pa$$; Last.FM: Last1FM2Pa$$3Word…);
  • mischia lettere maiuscole e minuscole, numeri e simboli: 1stPa$$-wOrD (la "s" diventa "$");
  • spezza le parole lunghe in due o più parti o dividile in sillabe: "computer" diventa "com-pu-ter" (come simboli di separazione usa "-", ".", "#" o anche i numeri incrementali).

E se dimentichi la password? Assicurati di aggiornare prima le informazioni per il ripristino: inserisci un indirizzo email alternativo e una domanda a cui solo tu sai rispondere (quindi non: "Qual è il nome del tuo animale domestico", che è facile da scoprire).
Utilizza poi il numero di cellulare per l'autenticazione a due fattori e infine cambia le password regolarmente.


Cosa NON devi fare per proteggere le tue password?

No

  • Non usare parole del dizionario come: "Microsoft", nomi di persona, nomi di animali domestici, nomi di mesi o stagioni, marche di auto…
  • Non usare il tuo nome e il tuo compleanno insieme (Marco21021978).
  • Non usare password di default come: 12345, qwerty, abcd
  • Non usare la stessa password per diversi siti.
  • Non chiudere il browser senza fare log-out soprattutto se il computer è condiviso.

Quali altri metodi ci sono per gestire le password?

Ci sono altri metodi, ma sono fortemente sconsigliati:

  • software di gestione delle password: un software che memorizza le password in modo "sicuro". Il problema è che alcuni software archiviano le password in chiaro (come Mozilla), con un debole MD5 o non criptate. Questo significa semplicemente spostare l'obiettivo degli hacker un passo più avanti. Il problema più grande poi è la disponibilità: cosa fai se non sei vicino al tuo computer? Chiami tua moglie/il tuo vicino/un collega e gli chiedi di accedere al computer e di dirti la password? Si spera proprio di no…
  • Carta e penna: questo metodo consiste… nello scriversi la password. Il che non è affatto sicuro, perchè chiunque potrebbe trovare quel pezzo di carta prima o poi. Sì, ci sono cassette di sicurezza e armadietti, ma fondamentalmente proteggono la password dietro una porta chiusa: se viene aperta? Hai perso tutto. Inoltre, anche questo metodo ha lo stesso problema del precedente: non è sempre disponibile.
  • Gestione delle password in the cloud: sì, esiste anche questo metodo… Ma non pensarci nemmeno! Infatti comporta troppi problemi a lungo termine e comunque risolve parzialmente il problema della disponibilità, perché ci sono sistemi che non sono collegati a Internet.

Morale: crea password complesse e imparale a memoria con i trucchi indicati sopra!

(Tratto da Avira Techblog).

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (11)

Tutte le cose scritte sono inoppugnabili, tranne il fatto di memorizzare le password.
Cioe’ sono teoricamente d’accordo, ma praticamente no.
Per uno "personale" lasciando stare i lavoro, le ho contate, ho 64 password. Come faccio a memorizzarle?
Cmq password lunghe, maiuscole, minuscole, e numeri per tutta la vita

Claudio Panerai,

Farei molta attenzione anche al modo in cui i siti memorizzano le password. Se mi iscrivo ad un portale e chiedo il recupero della password, mi aspetto che mi venga proposta una procedura di cambio password con una one time password. Se la procedura di cambio password mi inoltra la password da me scritta, questo significa che è stata salvata in chiaro nel database, quindi in caso di violazione il gioco per l’intruso è facile. Il salvataggio del hash rende impossibile ricostruire la password anche per il fornitore del servizio.
Anche le mie password sono una sessantina e tutte composite, per ora riesco a ricordarle, in futuro si vedrà.

Emilio Polenghi,

Ciao, volevo segnalare anche qui il post sul REISERblog che abbiamo dedicato a questo argomento, c’è qualche consiglio in più per creare una buona password: http://blog.reiser.it/2013/05/20/per-un-pugno-di-sicurezza-in-piu/
E comunque non ce n’è, bisogna proprio fare uno sforzo e imparare a memorizzare le proprie password, al nostro cervello serve un po’ di ginnastica!

Marcella Migliorini,

Ciao Marcella, articolo interessante: grazie per averlo condiviso!

Ilaria Colombo,

Una precisazione tecnica: le rainbow tables (di solito non si traduce in quanto è gergale) servono proprio ad aggirare la complessità in quanto vengono generate e calcolate diverse miliardi di combinazioni di password che vengono poi confrontati con gli hash trafugati. In questo modo, che la password sia complessa o meno, l’attacker avrà un metodo di confronto che prescinde dalla robustezza della password scelta. Esistono database di rainbow tables immensi.

Rocco Sicilia,

Grazie per la precisazione, Rocco!

Ilaria Colombo,

Non trovo corretto sconsigliare un software di gestione delle password. Nella fattispecie essendo uno sviluppatore software ho potuto analizzare bene a modo l’algoritmo con cui Keepass (gratuito e multipiattaforma: Windows, Mac, Linux, iPhone, Android, ecc) salva i dati (un estratto qui: http://keepass.info/help/base/security.html) e posso assicurare che questo sistema è il migliore. Il mio database attualmente conta 551 voci (alcune delle quali veramente piene di dati). Certo la master password per aprire il database è di 122 bit, composta da 20 caratteri di cui 7 minuscole, 2 maiuscole, 10 numeri, ed un simbolo il tutto ben mescolato e senza alcun riferimento ai miei dati personali. Il database è salvato su Google Drive protetto nel mio account (anch’esso con una password di 13 caratteri con sicurezza aumentata dalla two-step authentication) e il file chiave su Dropbox (con password da 9 caratteri e two-step authentication). Ovviamente poi ho un ottimo antivirus/firewall sul mio computer ed un firewall hardware. Non frequento siti "dubbi" o strani e per le cose rischiose uso una Virtual Machine dedicata. Buon divertimento a chi vuole rubarmele.

Christian Cristofori,

Complimenti, Christian!

Ilaria Colombo,

Rocco: apprezzo la tua dritta ipertecnica (rainbow tables), ma quindi quale è la tu opinione in merito alle password?
Usate la password che volete tanto ve la crakko ugualmente?
Lo chiedo non per fomentare guerre di religione ma perché mi interessa sapere cose suggerisci tu.

Ciao.

Claudio Panerai,

Articolo ECCEZIONALE! Mi permetto di suggerire un tool che generare password, alfanumeriche, da 8 a 2048 caratteri, usa molte delle regole qui elecate! Lo trovate qui! http://ow.ly/deFY30bhI0r

Andrea Lolli,

Grazie della segnalazione Andrea.

Claudio Panerai,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.