Home > Primo Piano > Le password complesse sono sorpassate?

Le password complesse sono sorpassate?

articolo pubblicato da: SABMCS | segnala un abuso

Le password complesse sono sorpassate?

 "La tua password non soddisfa le linee guida di sicurezza" - questo messaggio non sarà più fonte di irritazione per gli utenti dato che le raccomandazioni in merito alla composizione delle password sono state aggiornate. Le linee guida della NIST, di ormai 14 anni orsono, sono attualmente oggetto di revisione. Questo articolo illustra perché.

 
Bochum, 5 settembre 2017 - Qualche giorno fa, un funzionario dell'Istituto Nazionale degli Standard e delle Tecnologie (NIST) americano, oggi in pensione, ci ha sorpresi: si è scusato pubblicamente per un documento che scrisse nel 2003. Il documento conteneva raccomandazioni per rendere le password più robuste, raccomandazioni seguite da innumerevoli organizzazioni e piattaforme online. All’atto pratico però gli utenti non possono (e non vogliono) ricordare una password sicura basata su tali parametri, ad esempio "yxc^Vo!["$§oAIS@nrvkeu}ih5tK.-n27\fd ". E anche se potessero, password così composte non contribuiscono minimamente alla sicurezza. Se un certo insieme di criteri per la composizione di una password sicura è noto, un computer può infatti scartare interi gruppi di potenziali password. Se si suppone che una password abbia una lunghezza massima di 16 caratteri e che il primo carattere non sia un carattere speciale, si escludono automaticamente un paio di milioni di combinazioni. Se il sistema sa che la password contiene solo un carattere speciale (ove ad esempio spazi o dieresi non sono consentiti), si riduce ulteriormente il numero di possibili combinazioni. Dizionari e “tabelle arcobaleno” semplificano ulteriormente l'attività di un computer. La costante riduzione dei costi necessari per incrementare la potenza di calcolo dei sistemi è un ulteriore motivo a favore di una totale revisione delle regole attuali. L’uomo semplifica Le linee guida implementate nelle aziende per la creazione di nuove password sono motivo di frustrazione per i dipendenti su scala globale. Obbligati a cambiare la password a intervalli regolari, gli utenti devono spesso seguire criteri quali:
 
- Lunghezza di almeno 8 caratteri  - Alcune piattaforme definiscono anche la        lunghezza massima della password (16 caratteri) o la tipologia di determinati caratteri,  ad esempio "il primo carattere non può essere un carattere   speciale"
- Giusto mix di lettere maiuscole e minuscole
- La password deve contenere almeno un carattere speciale e una cifra; non sono  ammessi spazi
- E’ vietato riutilizzare una password impiegata negli ultimi 12 mesi
 
Se da un lato lo scopo primario del documento era quello di sbarazzarsi di password troppo facili da indovinare sostituendole con password più forti e complesse quindi meno decifrabili, dall’altro gli esseri umani tendono a semplificarsi la vita: "P@$$w0rd" ad esempio è una password lunga 8 caratteri, contiene lettere maiuscole e minuscole, tre caratteri speciali e una cifra, parametri che soddisfano tutte le linee guida di sicurezza. Dopo tre settimane viene chiesto all’utente di cambiare la password. Sempre volendo semplificare le cose, l’utente reitera la password con una variazione minima, "P@$$w0rd2". Tre settimane dopo sarà "P@$$w0rd3", e così via. Questa procedura, unitamente alle linee guida di cui sopra, ha dato origine a password che sono davvero difficili da gestire per gli esseri umani, ma facilmente individuabili per un computer.
 
Qual è la novità?
 
Il documento aggiornato propone modifiche che paiono musica per le orecchie di coloro che hanno lottato tutta la vita con password complesse. Si pone l’accento sull'uso di password facilmente memorizzabili. Le stesse dovrebbero comunque avere almeno 8 caratteri e si raccomanda una lunghezza massima di 64 caratteri. Ciò elimina a priori messaggi come "la password non può essere più lunga di X caratteri”. Alcuni caratteri non permessi in passato - come gli spazi - adesso potrebbero essere consentiti. Anche l’obbligo di modificare una password dopo un certo tempo sarebbe, secondo il NIST, una pratica sorpassata. La variazione della password dovrebbe aver luogo solo se sussiste motivo di credere che una password sia stata compromessa o su richiesta dell'utente, qualora l’abbia persa / dimenticata. Oltre a ciò, è consigliata l'autenticazione a più fattori. Sebbene sia una prassi consolidata in molte aziende, non si può ancora dire che sia stata adottata su larga scala. Alcune piattaforme online offrono anche la "verifica in due passaggi" per l'accesso a un account. La verifica consta dell’inserimento di nome utente e password e di un codice monouso generato da un'apposita applicazione. In ogni caso, l’utente necessita di diversi elementi per poter accedere a una risorsa o a un account. Tuttavia l'uso di messaggi testuali (SMS) come mezzo per trasmettere il secondo fattore di autenticazione è sconsigliato a fronte dei dubbi in merito all’effettiva sicurezza di tale strumento.    
 
Cosa significano queste raccomandazioni per utenti e operatori?
 
È importante menzionare che sebbene le pubblicazioni NIST contengono raccomandazioni non vincolanti giuridicamente, queste sono seguite da molti operatori. Fino a quando le nuove linee guida non saranno implementate, gli utenti non noteranno alcuna differenza. Molti provider e amministratori di sistema continueranno a fare affidamento sull'autenticazione classica con nome utente e la password. Ci aspettiamo però che l’autenticazione a più fattori venga utilizzata con maggior frequenza rispetto a oggi – soprattutto da parte dei maggiori operatori. 
Alcune delle regole ferree attualmente in uso per la composizione di una password potrebbero ammorbidirsi.
 
Lato operatori, le nuove linee guida chiariscono che una corretta protezione dell'account non è compito da demandarsi esclusivamente all'utente, perché se una password viene compromessa tramite phishing, è irrilevante quanto fosse robusta. Anche i provider sono quindi tenuti a fare uno sforzo. Invece di costringere gli utenti a mettere a punto password sempre più complesse dovrebbero tutelare efficacemente gli account aumentando la sicurezza lato server e introducendo metodi di autenticazione alternativi o aggiuntivi. Ricevere la password che abbiamo impostato noi stessi cliccando sul link "password dimenticata" è un chiaro indicatore che il fornitore non protegge le password correttamente. Anche avvalersi di una cifratura debole è errato: l’hardware utilizzato per irrompere nei dati crittografati e decifrare algoritmi di hashing deboli, come quelli impiegati da LinkedIn tempo fa, può produrre miliardi di combinazioni al secondo fino a trovare una corrispondenza.
 
La ricetta per (password) sicure: "Hashing, salatura, allungamento"
 
L'hashing non è uguale alla crittografia, sebbene si ritengano spesso strumenti intercambiabili. La crittografia è sempre reversibile, cioè il testo originale può essere sempre decriptato e recuperato in modo affidabile in base a funzioni matematiche ben definite. L’hashing invece è un processo matematico a senso unico: non sarà possibile ricostruire il testo originario una volta condotto il processo. Fenomeni come la "collisione hash", dove una sequenza di caratteri produce lo stesso hash del testo originario, non corrisponde affatto al recupero della password. L’hashing è uno dei fronti su cui devono lavorare gli operatori. Per assicurarsi accesso ad una password, i cybercriminali si avvalgono delle cosiddette tabelle arcobaleno. Spiegato in soldoni, queste tabelle contengono gli hash di password note come "123456" o "asdfghjkl". Queste tabelle rendono un attacco molto economico in termini di potenza di calcolo, poiché tutto ciò che il computer deve fare è confrontare elenchi di hash. Fermandosi quindi al mero hashing risulta ovvio che le tabelle arcobaleno sono in grado di far implodere l’intero processo. Per questo motivo, nei sistemi più moderni, gli hash sono corredati di una serie di caratteri casuali (la “salatura”) aggiunti alla password originaria e diversi per ogni hash, rendendo l'utilizzo delle tabelle arcobaleno economicamente impraticabile o del tutto inefficace. Un hash “salato” può infine essere "allungato" passandolo migliaia di volte attraverso un processo matematico chiamato "PBKDF2", che complica ulteriormente il tentativo di ricostruire la password. Più spesso viene eseguito il processo, più è difficile recuperare la password. Aumentando il numero di volte in cui viene eseguita la funzione PBKDF2 si esclude la necessità di dover ridisegnare l'intero sistema. La cancellazione di una password va infine condotta utilizzando solo metodi sicuri, tra cui ad esempio HMAC, CMAC o SHA-3. L'unico obiettivo di tutte queste misure è quello di rendere qualsiasi attacco a una password il più dispendioso possibile per qualsiasi criminale. Se un intruso dovrà fare uno sforzo sproporzionato per compromettere una singola password, nel 99% dei casi si asterrà da tale pratica e ricorrerà ad altri metodi come il phishing.
 
Quale password devo utilizzare allora?
 
Se si è abituati ad utilizzare solo password complesse e non ci si sente a proprio agio con nessuna altra formulazione, non è obbligatorio cambiare radicalmente le proprie abitudini, sarà sufficiente non cambiare la password a intervalli regolari. Per tutti gli altri tutto è possibile. Se lo si desidera, è possibile utilizzare intere frasi, inclusi spazi vuoti e altri caratteri speciali - in altre parole, è possibile utilizzare una frase d’accesso, sufficientemente lunga per dar filo da torcere ad eventuali criminali ma non troppo, per non dimenticarla. Tenendo quindi per buona la lunghezza minima di 8 caratteri, ci sono infinite possibili variazioni a portata di essere umano.
 
Per coloro che già si stanno rallegrando e pensano "finalmente, non ci saranno più password incomprensibili, c'è ancora un piccolo intralcio: password come la data del compleanno, "123456", "abcdef", "aaaaaaa" o "qwertzuiop" rappresentano ancora una pessima scelta e sono spesso inserite nella blacklist da operatori o amministratori di sistema. La regola di non usare la stessa password per più scopi (ad esempio e-mail, social media e negozi online) è sempre valida. Per ogni servizio bisognerebbe impiegare una password o frase d’accesso differente. Se disponibile, sarebbe opportuno attivare un secondo metodo di autenticazione. Per tenere traccia di tutte le password, un gestore di password rimane comunque uno strumento utile.
 
Quattro suggerimenti per proteggere il proprio account account
 
Se una piattaforma ha implementato le nuove raccomandazioni, ci sono alcuni semplici suggerimenti che consentono di aumentare la sicurezza dell'account:
- Utilizzare una frase d’accesso sufficientemente lunga ad esempio "1StranoGioco –       laMossaVincente è NonGiocare!" - noterete che questa ha una lunghezza di 44    caratteri, contiene caratteri speciali ed è facile da ricordare
- Se disponibile abilitare l'autenticazione a più fattori
- Non riutilizzare mai una frase d’accesso per più account
- Utilizzare un password manager

G DATA | NIST | password sicure | caratteri speciali | crittografia | hash | hashing | Istituto Nazionale degli Standard e delle Tecnologie | login | password | phishing | piattaforme online | provider | Sicurezza informatica |



Commenta l'articolo

 

Potrebbe anche interessarti

G DATA Password Manager rimette ordine nel caos dei codici d‘accesso


I siti più famosi ancora indietro sulla sicurezza delle password


Sono stati rilasciati i primi programmi software per recuperare le password NoSQL dei database


Dimenticata la password di Windows? Non preoccuparti! Con solo pochi click, riprendere subito l'accesso al computer!


Due metodi per mettere password a cartella: proteggono i vostri dati personali salvati sul computer


Soluzioni: come riprendere l’accesso nel caso di password dimenticata Windows XP


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

Abbattere i costi é la ragione per cui due terzi delle aziende europee adottano il VoIP

Abbattere i costi é la ragione per cui due terzi delle aziende europee adottano il VoIP
 In Europa siamo ben lontani dal rinunciare al telefono fisso, che campeggia ancora sull'83,5% delle scrivanie. Rilevante anche la notorietà del VoIP presso l'utenza aziendale, 4 addetti su 5 conoscono infatti questa tecnologia e ne sappiamo annoverare i vantaggi. Questi sono solo alcuni dei risultati del recente studio * condotto da Snom in cinque Paesi europei in collaborazione con l (continua)

Snom svincola la telefonia IP dalla postazione di lavoro fissa e fa dei suoi terminali un salvavita

Snom svincola la telefonia IP dalla postazione di lavoro fissa e fa dei suoi terminali un salvavita
 Con la sua nuova serie di terminali IP cordless DECT, Snom rivoluziona la tradizionale modalità di fruizione della telefonia IP. Un’integrazione della tecnologia Bluetooth Low Energy, unica nel suo genere, apre i terminali ad infiniti scenari d’impiego.   Snom, pioniere del VoIP e noto produttore di terminali IP premium e accessori per la telefonia aziendale, annunc (continua)

La nuova libertà nelle conversazioni telefoniche: l’headset DECT A150 ultraleggero di Snom

La nuova libertà nelle conversazioni telefoniche: l’headset DECT A150 ultraleggero di Snom
 Con il suo A150, Snom, produttore internazionale di terminali VoIP premium per aziende e professionisti presenta un headset ultraleggero senza fili, che si avvale del protocollo DECT per massimizzarne la portata. L’eccellente qualità audio e la comodità d’uso una volta indossato caratterizzano l’elegante dispositivo sovrauricolare dotato di numerose funzionali (continua)

Un binomio inseparabile: la trasmissione di dati e voce in ambito professionale

Un binomio inseparabile:  la trasmissione di dati e voce in ambito professionale
 Sebbene oggi la maggior parte degli utenti di telefoni professionali sa che la propria voce viene trasportata „over IP“, solo a pochi è chiaro cosa ciò comporti esattamente e cosa sia necessario per renderlo possibile.   Mentre l’utenza privata si avvale ancora di piattaforme Internet pubbliche per chiamare a poco costo o gratuitamente amici e parenti, (continua)

Snom presenta moderno terminale IP di base con display a colori e sensore di luminosità: il D717

Snom presenta moderno terminale IP di base con display a colori e sensore di luminosità: il D717
 Snom, pioniere e produttore tedesco leader di telefoni IP per l’uso professionale annuncia la disponibilità del suo nuovo D717, il modello “entry level” della serie premium di terminali IP da scrivania D7xx. A dispetto della qualifica di modello di base, lo Snom D717 é paperless, poichè dotato di tasti funzione digitali e di un display a colori, risulta (continua)