Skip to content

Latest commit

 

History

History
284 lines (184 loc) · 19.7 KB

900-tutto-sulle-password.markdown

File metadata and controls

284 lines (184 loc) · 19.7 KB

Le Password

Fidelio.

Giusto signore, questa è la parola d'ordine per entrare, ma ora vorrei sentire quella per partecipare.

Mi rincresce, io temo di averla dimenticata.

Questo è spiacevole, perché qui non ha importanza se uno l'ha dimenticata o non l'ha mai saputa.

(Tratto dal film "Eyes Wide Shut". 1999)

La gestione delle password evidenzia diversi aspetti critici e sfide della sicurezza informatica nella protezione delle credenziali d'accesso. Analizziamo i punti sollevati e offriamo alcune raccomandazioni moderne su come gestire efficacemente le password.

Tipi di Attacchi alle Password

  1. Guessing: Questo metodo si basa sul tentativo di indovinare la password attraverso supposizioni logiche basate su informazioni note sulla vittima, come date di nascita o nomi di animali domestici.

  2. Forza Bruta: Implica il test di tutte le possibili combinazioni di caratteri fino a quando non si trova la password corretta. Questa tecnica è efficace contro le password brevi e semplici.

  3. Attacco del Dizionario: Utilizza un elenco di parole predefinite (come un dizionario) per provare rapidamente molte combinazioni plausibili di password.

  4. Tabelle Arcobaleno: Sono enormi database precalcolati di hash di password. Consentono di trovare corrispondenze di password abbastanza velocemente se l'hash è già stato calcolato e memorizzato nella tabella.

  5. Social Engineering e Phishing: Si basano su trucchi per ingannare gli utenti affinché rivelino volontariamente le proprie password, spesso tramite email ingannevoli o siti web falsificati.

Stratificazione delle Password (Tiered Password)

La pratica di utilizzare password di diversa complessità a seconda dell'importanza del servizio può sembrare pratica, ma presenta rischi significativi:

  • Consistenza tra i servizi: Se una password meno sicura viene compromessa, gli attaccanti possono usare quella informazione per tentare di accedere a servizi più critici, specialmente se l'utente ricicla elementi di quella password.

  • Social Engineering: Una password compromessa può fornire indizi su come un utente crea le sue password, facilitando attacchi di ingegneria sociale o di forza bruta su account più sicuri.

Raccomandazioni per la Gestione delle Password

  1. Utilizza un Gestore di Password: I gestori di password generano, memorizzano e riempiono automaticamente password complesse e uniche per ogni account, riducendo il rischio di riciclo di password e semplificando la gestione di password diverse.

  2. Abilita l'Autenticazione a Più Fattori (MFA): Aggiungi un ulteriore livello di sicurezza oltre la password. Anche se la password viene compromessa, l'accesso non autorizzato può essere bloccato senza il secondo fattore.

  3. Educazione Continua: Formare gli utenti su come riconoscere tentativi di phishing e attacchi di social engineering. La consapevolezza è una delle difese più potenti contro le minacce informatiche.

  4. Politiche di Sicurezza Forti: Le organizzazioni dovrebbero implementare politiche che richiedono password complesse e cambiamenti regolari delle password, oltre a monitorare gli accessi sospetti e le violazioni di sicurezza.

In conclusione, mentre la stratificazione delle password può sembrare una soluzione conveniente, non è consigliabile a causa dei potenziali rischi di sicurezza. È meglio optare per password uniche e complesse per ogni servizio, gestite tramite un gestore di password affidabile, e rafforzare la sicurezza con l'autenticazione multi-fattore.

Errori nella scelta delle password

Gli errori nella scelta delle password sono tra i più comuni e pericolosi. Questi comportamenti aumentano notevolmente il rischio di subire violazioni di dati e altre forme di attacchi informatici. Ecco un'analisi dettagliata degli errori e alcune raccomandazioni su come evitarli:

1. Password Semplici e Prevedibili

Problema: Utilizzare password comuni e facilmente indovinabili, come sequenze numeriche semplici o parole banali. Soluzione: Usare password lunghe e complesse, generate casualmente, che combinano lettere maiuscole e minuscole, numeri e simboli.

2. Informazioni Personali

Problema: Includere dettagli personali facilmente accessibili pubblicamente. Soluzione: Evitare l'uso di qualsiasi informazione personalmente identificabile nelle password.

3. Password Identiche

Problema: Usare la stessa password per più account, il che può portare a una cascata di violazioni da un singolo punto di fallimento. Soluzione: Utilizzare una password unica per ogni account, idealmente gestite attraverso un gestore di password.

4. Password Brevi

Problema: Le password corte sono più suscettibili agli attacchi di forza bruta. Soluzione: Creare password che siano almeno 12-16 caratteri di lunghezza.

5. Mancanza di Caratteri Speciali o Numeri

Problema: Password composte solo da lettere sono meno complesse e più facili da craccare. Soluzione: Includere una varietà di caratteri speciali, numeri e lettere.

6. Non Aggiornare le Password

Problema: Mantenere la stessa password per lunghi periodi aumenta il rischio che venga scoperta. Soluzione: Cambiare le password regolarmente, almeno una volta all'anno o dopo ogni violazione di dati.

7. Condivisione delle Password

Problema: Condividere le password può portare a un accesso non autorizzato. Soluzione: Non condividere mai le password. Utilizzare strumenti come la condivisione di credenziali gestita o i permessi per delegare l'accesso senza condividere le proprie credenziali.

8. Password Scritte su Carta

Problema: Annotare le password le rende vulnerabili al furto fisico. Soluzione: Utilizzare un gestore di password digitale invece di appunti fisici.

9. Ignorare l'Autenticazione Multi-Fattore

Problema: Non utilizzare MFA lascia l'utente vulnerabile anche se la password viene scoperta. Soluzione: Abilitare l'autenticazione a più fattori su tutti i servizi che offrono questa funzionalità per un livello aggiuntivo di sicurezza.

Peggiori Password del 2021

Le password che hai elencato, come "123456" o "password", sono esempi perfetti di come non dovrebbero essere scelte le password. Questi esempi mostrano la necessità di aumentare la consapevolezza sulla sicurezza e l'importanza di seguire le buone pratiche nella creazione e gestione delle password.

In sintesi, la scelta di password sicure e l'adozione di buone pratiche di sicurezza sono essenziali per proteggere l'accesso ai dati e agli account online. Utilizzare un gestore di password e abilitare l'autenticazione multi-fattore dovrebbe essere considerato essenziale in qualsiasi strategia di sicurezza personale o aziendale.

Gestire le password è faticoso

L'immagine che hai condiviso fornisce statistiche interessanti sull'uso delle password tra gli adulti statunitensi. Ecco un riepilogo dettagliato delle statistiche estratte dall'immagine:

Statistiche Generali sull'Uso delle Password

  • 24% degli americani ha utilizzato alcune delle password più comuni o loro varianti. Queste includono:
    • abc123
    • Password
    • 123456
    • Iloveyou
    • 111111
    • Qwerty
    • Admin
    • Welcome

Uso di Nomi e Date di Compleanno nelle Password

  • 59% degli adulti statunitensi ha incluso un nome o una data di compleanno nelle loro password per account online, suddiviso come segue:
    • 33% ha usato il nome di un animale domestico.
    • 22% ha usato il proprio nome.
    • 15% ha usato il nome del coniuge o partner.
    • 14% ha usato il nome di uno o più figli.

Analisi delle Statistiche

Queste statistiche rivelano una tendenza preoccupante nell'uso di password facilmente indovinabili che mettono a rischio la sicurezza degli account online. Utilizzare informazioni personali come nomi di famiglia, date di compleanno, o altri dettagli facilmente reperibili può rendere gli account vulnerabili ad attacchi di guessing o di dizionario.

L'uso di questi dati personali nelle password riflette una mancanza di consapevolezza o di attenzione verso le migliori pratiche di sicurezza, che raccomandano di evitare informazioni facilmente accessibili o indovinabili. La formazione e la sensibilizzazione sulla sicurezza informatica sono cruciali per migliorare queste abitudini e rafforzare la protezione degli account personali e lavorativi.

Nell'era digitale, le password sono la chiave d'accesso ai nostri dati personali e professionali più preziosi. Una gestione efficace delle password è essenziale per proteggere la nostra identità online e prevenire accessi non autorizzati ai nostri account. Esploreremo l'anatomia di una password sicura, discuteremo le tecniche per misurare la forza di una password e offriremo consigli pratici per una gestione sicura delle password.

Anatomia di una Password Sicura

Una password sicura è costruita seguendo criteri specifici che aumentano la sua complessità e resistenza agli attacchi. Le caratteristiche di una password sicura includono:

  • Lunghezza: Minimo 12 caratteri, idealmente più di 16.
  • Complessità: Combinazione di lettere maiuscole e minuscole, numeri e simboli speciali (es. @, #, $).
  • Unicità: Ogni account dovrebbe avere una password unica.
  • Prevedibilità: Evitare parole comuni, sequenze semplici o informazioni personali facilmente indovinabili.

Misurare la Forza della Password

La forza di una password può essere quantificata in base al tempo necessario per violarla attraverso vari metodi di attacco:

Password Tempo stimato per la violazione
qwerty 0 secondi
longpassword 2 secondi
counterparty 12 secondi
c0unterp@rty 44 secondi
Davide2023 17 minuti
Money People 167? 7 anni
M34&rt3+rfghT3skl0 Più di 100 anni

Questi tempi dimostrano l'importanza di combinare lettere, numeri e simboli in modelli non prevedibili.

Una regola pratica per la gestione delle password è trattarle come lo spazzolino da denti: "Non lasciare che nessun altro lo usi, e sostituiscilo ogni sei mesi!" Questo consiglio sottolinea l'importanza di mantenere le password private e di cambiarle regolarmente per prevenire abusi.

Un metodo efficace per creare password forti è utilizzare un algoritmo mentale:

  1. Scegli una frase memorabile, es. "quarantaquattro gatti in fila per sei con resto di due".
  2. Utilizza le iniziali: qgifpscrdd.
  3. Aggiungi simboli e numeri: £qgifpscrdd8.
  4. Personalizza per ogni sito: £qgifpscrdd8AmN per Amazon, £qgifpscrdd8FaK per Facebook.

Una password forte è tecnicamente resistente agli attacchi di forza bruta, ma potrebbe non essere sicura se l'approccio usato per crearla è prevedibile. Ad esempio, un attaccante che osserva due delle tue password potrebbe identificare un pattern e compromettere altri account.

Conservazione delle Password

Le opzioni per custodire le password includono:

  • Memorizzazione a mente: Sicura ma impraticabile per un grande numero di password.
  • Scrittura su carta: Rischi di accesso fisico non autorizzato.
  • File nel computer: Vulnerabile a malware e perdita di dati.
  • Algoritmo mentale: Utile ma difficile da mantenere nel tempo.
  • Password manager: Soluzione più sicura, centralizzata e crittografata, anche se esposta a rischi potenziali legati alla sicurezza del servizio utilizzato.

Ogni metodo ha i suoi vantaggi e svantaggi:

1. Memorizzazione Mentale

Pro:

  • Teoricamente il più sicuro poiché non lascia tracce fisiche o digitali.

Contro:

  • Impraticabile per un grande numero di password.
  • Tende a portare all'uso di password semplici e al loro riutilizzo per facilitarne il ricordo.

2. Scrittura su Pezzo di Carta

Pro:

  • Semplice e accessibile.
  • Non richiede tecnologia, quindi meno vulnerabile a attacchi cibernetici diretti.

Contro:

  • Deve essere custodito in luogo sicuro lontano da sguardi indiscreti e furti.
  • Non pratico se si viaggia spesso.
  • Vulnerabile a danni fisici come incendi o allagamenti.

3. File nel Computer

Pro:

  • Centralizza la conservazione delle password in un unico luogo facilmente accessibile.

Contro:

  • Se il computer è infettato da malware, si rischia di rivelare tutte le password.
  • Se si utilizzano cartelle condivise online, il file è esposto a una maggiore superficie d’attacco.
  • La perdita o il guasto del computer può portare alla perdita delle password, a meno che non si disponga di backup adeguati.

4. Algoritmo Mentale

Pro:

  • Genera password che possono essere ricreate se necessario senza doverle memorizzare o scrivere.

Contro:

  • Richiede un algoritmo complesso per evitare schemi prevedibili.
  • Difficile gestire il cambio frequente di password senza ricadere nello stesso output.
  • Cambiando l'algoritmo nel tempo, si possono dimenticare le password generate con versioni precedenti.

5. Password Manager

Pro:

  • Centralizza e cripta le password in un unico luogo.
  • Offre funzionalità avanzate come la generazione automatica di password forti e l'auto-riempimento nei form online.

Contro:

  • Dipendenza da un sistema terzo: se il servizio del password manager è compromesso, tutte le password salvate possono essere esposte.
  • Introduce una superficie d’attacco se il provider del servizio subisce una violazione dei dati.

Ogni metodo di gestione delle password ha i suoi pro e contro. La scelta del metodo più adatto dipende dalle abitudini personali, dal livello di comfort con la tecnologia, e dalle esigenze specifiche di sicurezza. Per molti, l'uso di un password manager rappresenta un buon equilibrio tra sicurezza e praticità, soprattutto se abbinato a pratiche come l'uso di autenticazione multi-fattore per proteggere ulteriormente l'accesso al gestore stesso.

Il documento che hai allegato fornisce una panoramica completa sulla gestione delle password nei sistemi informatici, evidenziando vari metodi di attacco, la costruzione di database di password sicuri, e il processo di recupero delle password. Ecco una descrizione dettagliata dei contenuti principali:

Costruzione dei Database di Password

Vediamo come vengono gestite le nostre password dai servizi che ci chiedono di inserirle.

  • Hashing delle Password: Le password non vengono conservate in forma leggibile nei database. Invece, vengono trasformate in una stringa di caratteri non leggibile tramite un algoritmo di hashing. Questo processo è fondamentale per la sicurezza, poiché anche se il database viene compromesso, le password originali non sono direttamente esposte.

Creare un database di password sicuro implica l'uso di pratiche avanzate di crittografia e hashing per proteggere le credenziali degli utenti. Qui di seguito, offro un esempio semplificato di come potrebbe essere strutturato un database di password sicuro. La struttura include l'uso di hash e salt per ogni password. Come vedremo, il salt è un piccolo dato aggiunto alla password che la rende unica anche rispetto a quella di un utente che dovesse scegliere una password uguale alla nostra.

Esempio di Struttura di un Database di Password

UserID Username Password Hash Salt Data Creazione Account Ultimo Cambio Password
1 user1 e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 5f4dcc3b5aa765d61d8327deb882cf99 2021-01-15 2023-01-01
2 user2 a5bfc9e07964f8dddeb95fc584cd965d982d034af7da2baad7c5fbb078710c55 aab9e1de16f38176f86d7a92ba337a8d 2021-02-20 2023-01-10
3 user3 b6fcd1ee8a3c48b1385b6b51bde54efc567901233ef8c3207b1485206e2e3553 68b329da9893e34099c7d8ad5cb9c940 2021-03-11 2023-01-15

Descrizione delle Colonne

  • UserID: Un identificatore unico per ogni utente nel database.
  • Username: Il nome utente associato all'account.
  • Password Hash: La password dell'utente, dopo essere stata processata attraverso una funzione di hashing crittografica. Questo valore è unico per ogni password a causa dell'aggiunta del salt.
  • Salt: Una stringa di caratteri casuali aggiunta alla password originale prima del processo di hashing. Il salt assicura che le password hashate siano uniche anche se due utenti utilizzano la stessa password.
  • Data Creazione Account: La data in cui l'account è stato creato.
  • Ultimo Cambio Password: La data dell'ultimo cambio della password, importante per politiche di sicurezza che richiedono un cambio regolare delle password.

Sicurezza e Gestione

L'uso del salt e di funzioni di hashing robuste come SHA-256 o bcrypt aiuta a proteggere le password contro attacchi come quelli con rainbow table. È fondamentale anche implementare politiche di sicurezza che richiedano agli utenti di cambiare le password regolarmente e di utilizzare password complesse che sono difficili da indovinare.

Questo esempio mostra un modo in cui i database di password possono essere strutturati per massimizzare la sicurezza. Implementare tali sistemi richiede una comprensione approfondita delle best practice di sicurezza e degli attuali standard crittografici.

Attacco del Dizionario

  • Definizione e Descrizione: Questo attacco utilizza un elenco predefinito di parole comuni o frasi per accedere non autorizzato a sistemi o account, sfruttando password deboli o comuni.
  • Efficacia: Gli attacchi del dizionario sono generalmente inefficaci contro sistemi online moderni che bloccano tentativi ripetuti dallo stesso IP, ma possono essere efficaci se l'attaccante ha accesso a una copia del database delle password, nonostante siano in forma hash.

Rainbow Table

  • Descrizione: Le Rainbow Table sono database precalcolati che contengono hash di password comuni e le corrispondenti password in chiaro. Questi strumenti sono usati per decifrare rapidamente le password hashate.
  • Protezione: Si può proteggere da queste tabelle utilizzando il "salt", un metodo che aggiunge dati casuali alle password prima del processo di hashing, rendendo le Rainbow Table meno efficaci, anzi praticamente inutili.

Processo di Registrazione e Reset Password

Come utenti siamo ormai avvezzi a queste procedure. Ogni servizio online ci richiede di fare una registrazione e nei casi in cui ad un accesso successivo non ricordassimo la password, questi servizi in genere consentono di annullare la vecchia password per permetterci di sceglierne una nuova.

  • Registrazione: Il processo include l'inserimento delle credenziali dall'utente, l'invio di un link di conferma da parte del sistema, e l'attivazione dell'account dopo la conferma dell'utente.
  • Reset della Password: Inizia con una richiesta di reset da parte dell'utente, seguita dall'invio di un link di reset al suo indirizzo email. L'utente crea una nuova password tramite il link ricevuto, e il sistema aggiorna e conferma il cambiamento.

Nota Finale sul Recupero delle Password

  • Pratiche di Sicurezza: Un servizio sicuro non invierà mai la password originale dimenticata. Invece, chiederà all'utente di impostare una nuova password. Nei servizi di pagamento, il cambiamento dovrebbe includere un'autenticazione forte. Inoltre, potrebbe essere introdotto un periodo di inattività forzata dopo il cambiamento della password per motivi di sicurezza.

Questo documento fornisce una guida essenziale per comprendere come le password vengono gestite in modo sicuro nei sistemi informatici e quali misure possono essere adottate per proteggere le credenziali degli utenti da vari tipi di attacchi informatici.