Pregi e difetti dell’era moderna: privacy e sicurezza in balia di una password… di Toselli Pier Luca*

 18 settembre 2015

Sento già qualcuno gridare “esagerato!” ma a ben rifletterci è vero, vi basti pensare alla password per accedere ai vostri servizi bancari on line, o ancora, alla password che avete scelto a tutela della vostra corrispondenza personale: Ho deciso allora, di scrivere questo articolo, perché ancora oggi dopo circa 10 anni di esperienze nel settore della sicurezza informatica mi capita ancora di ritrovare a tutela di pc e servizi internet le password: “12345”; “password”; ed altre talmente banali, da non richiedere l’utilizzo di complicati software, librerie, dizionari ed altre tecniche di “brute force” per la loro violazione da parte di malintenzionati, ma solo un po’ di fortuna e pazienza.

Le password ormai governano la nostra vita

Le password ormai governano la nostra vita, non vi è servizio telematico o informatico che non ne richieda una, tralasciando poi, la “complicata vita” di coloro che per motivi professionali si ritrovano ad averne diverse decine tutte diverse e che per le policy di sicurezza dei servizi stessi, devono essere periodicamente cambiate e …. ricordate.

Questa proliferazione di password induce spesso a comportamenti quanto meno imprudenti quali:

  • formazione di password banali ed in ogni caso facili da ricordare ma anche da …individuare… (numeri in serie, la propria data di nascita, la targa dell’auto, il nome del gatto, il cognome della moglie etc.) tutti elementi che la diffusione e conseguente uso dei social network ha reso, spesso a nostra insaputa, molto facili da intuire e scovare;
  • la scelta della medesima password o di poco modificata per ogni servizio per esempio – Tommaso 1 – Tommaso 2 – 3 Tommaso – 5Tommy, quando Tommaso è il nostro primogenito ed il numero rappresenta il servizio o il mese di utilizzo di quella password;
  • l’obbligo di annotarsi nei modi più bizzarri e disparati le password (alzi la mano chi ha l’agendina, le ha segnate su di un post-it, in un libro, le ha tutte riportate in un file che periodicamente cancella o dimentica e tanti altri che tralascio richiamando ciascuno ad una riflessione sulle proprie specifiche abitudini).

Non a caso esistono ormai da tempo software specifici per la gestione delle password, che ci vengono in aiuto, la maggior parte dei quali richiede la creazione ed il ricordo di una sola password, cosiddetta “master password”, che poi permette la gestione di tutte le altre associate ai diversi servizi. In ogni caso volente o nolente ciascuno ha a che fare con una password “”sarà master ma sempre password è “”.

Allora viene da chiedersi quale possa essere una password “forte” ossia un valido elemento di “difesa passiva” basata esclusivamente sulla “robustezza/resistenza” della password a resistere agli attacchi .

In rete e sulla stampa specializzata, potete trovare numerosi siti ed altre risorse che trattano l’argomento e potete farvi rapidamente un idea dei tempi necessari a forzare un password attraverso vari attacchi e come detti tempi siano sempre direttamente proporzionali alla complessità e lunghezza della password scelta.

Due regole per la formazione di una password forte:

  • deve avere almeno 8 caratteri alfanumerici minuscoli e maiuscoli più altri caratteri “speciali” quali (!”£$%&/()=?^*éç°§): Invero, in generale le policy di sicurezza indicano in 8 caratteri il minimo, ma password di 14 o più caratteri non fanno che aumentare la sicurezza e resistenza agli attacchi. L’elemento di forza di tali password è costituito pertanto dalla loro lunghezza e dal mix di caratteri (lettere maiuscole e minuscole, numeri e caratteri speciali quanto più il mix è eterogeneo e complicato tanto più resistente agli attacchi è la nostra password;
  • evitare di utilizzare quale combinazione di lettere, parole compiute del dizionario. Meglio utilizzare i nomi al contrario mentre l’ottimo si raggiunge con sequenze casuali di lettere. Quindi evitare “Mario” meglio Oiram mentre l’ottimo sarebbe RmAoI.  Sono altresì sconsigliate le date, i luoghi, citazioni e frasi di film soprattutto se questi appaiono tra i preferiti del proprio profilo Facebook. Ricordo a tal proposito, senza entrare in particolari tecnicismi, che il cosiddetto “dizionario”, non è preconfezionato e viene creato sulla scorta dei dati contenuti sui supporti dell’attaccato. Pertanto se la password è frutto di dati contenuti sul proprio pc è molto probabile che gli stessi dati confluiscano in quel dizionario che poi sarà utilizzato dai malintenzionati per l’attacco.

Sono altresì sconsigliate le date, i luoghi, citazioni e frasi di film soprattutto se questi appaiono tra i preferiti del proprio profilo Facebook

Una regola per la conservazione sicura delle password.

Evito di ricordare banalità quali non tatuarsela, non rivelarla agli sconosciuti, non scriverla sul post-it attaccato al monitor del PC, e mi limito solo a fornire una regola generale che consiglia di non trascrivere le password su supporti cartacei facilmente accessibili da chiunque (diverso se conservate un agenda in cassaforte, dal tenerla sulla scrivania … anche questa è difesa passiva… ) ed ancora di evitare di affidarsi a rudimentali metodi di trascrizione su file delle password (il famoso file Excel con tutte le password o la tabellina di Word) soprattutto quando tale metodo non prevede almeno la criptazione (e quindi un altra password per tale file) ma l’affidarsi ad un file in chiaro chiamato “passaparola”.

In concreto.

Meglio affidarsi alla tecnologia e software specifici in rete ne troverete molti gratuiti e per tutte le tasche che ci potranno aiutare a generare, gestire e ricordare password anche molto complesse (digitate in “Google” – Password Manager – e buona scelta).

Come verifico la robustezza della mia password?

Dopo tanta teoria un po’ di pratica. Ho scelto questa password “T0$&llì65PiéR05lùCa09” e mi sono chiesto quanto potesse essere robusta. Il numero di caratteri è abbondante, eterogeneo e non comprende frasi o date facilmente individuabili è tuttavia, il mio cognome, anno di nascita, nome mese di nascita, nome giorno di nascita, quindi tutto sommato facile da ricordare ma anche da scoprire (stando ad alcuni). Mi sono affidato allora a questo servizio per misurarne la “forza” …..andate a questa pagina e misuratela

 http://it.kryptotel.net/passwordmeter.html ed in ogni caso provate le vostre.

* delegato Cobar Emilia Romagna