Da quando i soldi, la posta, le conversazioni, la nostra identità sono diventati virtuali e hanno avuto un corrispettivo gestibile da computer si è sempre
più sentito il bisogno di garantire una protezione per l’accesso a tali risorse.
Per entrare nella pagina di un conto on-line, per vedere la posta, per scrivere su molti forum, per assicurare a questi servizi che “io sono io”, cioè per
“autenticarsi” come si dice in gergo, si deve fornire la propria password.
Se prima la protezione per i soldi era assicurata da banche e casseforti, le lettere erano chiuse in una busta e firmate, chi voleva parlare con noi ci
riconosceva dal viso e dalla voce ora tutto questo è stato affidato alle password.
Le cassaforti si forzano, le firme si falsificano, i documenti con foto anche, le lettere si possono rubare e aprire. Ma se prima accadeva una cosa del
genere la colpa era “di altri”. Ora se una password viene scoperta, rubata e usata i responsabili siamo molto probabilmente noi.
Ma che rapporto abbiamo con le nostre password? Come fare ad averne di sicure? Come fare a ricordarle tutte, o a conservarle in maniera sicura?
Cercheremo di affrontare l’argomento in maniera chiara e semplice.
La sicurezza di una password
Cominciamo che dire che il grado di sicurezza di una password si misura nel tempo che dovrebbe essere impiegato prima che questa venga scoperta.
Ebbene sì, a forza di tentativi qualunque password alla fine può essere trovata. Ma se è stata fatta bene ed è lunga i tentativi necessari potrebbero essere
milioni, miliardi o anche di più, e pure il più potente dei computer, usato giorno e notte potrebbe metterci migliai di anni se non miliardi per indovinarla.
Esempio pratico: avete presente quei lucchetti usati per chiudere le valigie? Quelli che hanno tre rotelline coi numeri da 0 a 9?
Un blocco di quel tipo ha 1000 combinazioni possibili, ovvero da 000 a 999. È una protezione abbastanza semplice da superare dato che già sappiamo quante
cifre vanno utilizzate (3 e non meno ne di più) e che ogni cifra può avere solo 10 valori (cioè tutti i numeri da 0 a 9).
In matematica (o meglio nel campo del calcolo combinatorio) una situazione di quel tipo si chiama “disposizione con ripetizioni” perché i caratteri usati
possono anche essere ripetuti (cioè la combinazione giusta potrebbe avere due o tre cifre uguali, come 233 o 666).
Indicando con “n” il numero di caratteri a disposizione (nel caso del lucchetto sono 0, 1, 2, 3, 4, 5, 6, 7, 8, 9,) e con “k” la lunghezza della combinazione
(in questo caso è 3) le possibilità che si hanno sono n elevato a k (quindi nel nostro esempio dieci alla terza):
n^k = 10^3 = 1000.
Non è stata usata la terminologia precisa ma speriamo sia chiaro.
Non ci soffermermo sulla parte matematica se non per farci una idea della potenziale sicurezza offerta da una password lunga 8 caratteri in cui si possano
usare tutte le 26 lettere dell’alfabeto, più i numeri da 0 a 9, più un paio di segni di punteggiatura come il punto e il trattino che spesso sono ammessi.
Parliamo in totale di 38 caratteri differenti per 8 posizioni, per un totale di 4.347.792.138.496 potenziali password.
Se la password fa differenza tra lettere maiuscole e minuscole arriviamo a 281.474.976.710.656, e se aggiungiamo la possibilità che la lunghezza vari da
6 a 8 caratteri arriviamo a 285.941.742.698.496
Se ci mettessimo a provare tutte le combinazioni digitando una password al secondo sapete quanti anni occorrerrebbero? Più di 9.067.153!
Anche se i tentativi andassero alla velocità di uno ogni millesimo di secondo passerebbero comunque diverse epoche storiche prima che qualcuno riesca ad
accedere alle risorse protette.
E non dimentichiamo che spesso è necessario conoscere anche lo username e che in certi casi dopo un certo numero di login errati il sistema va in blocco
impedendo ulteriori accessi (come accade per il bancomat) o sospendendoli per un lasso di tempo di alcune ore (come per le caselle Hotmail).
Come vedete concettualmente la password è uno strumento sicuro… ma nonostante ciò spesso viene neutralizzato. le cause sono principlamente due:
- prevedibilità della password
- intercettazione della password
Adesso le analizzeremo nel dettaglio.
La previdibilità della password
Tutto il discorso fatto circa le combinazioni per ogni chiave di accesso in base ai caratteri a disposizione e alla lunghezza della parola d’ordine sono
in linea teorica perfetti, ma non tutte le chiavi hanno la stessa probabilità di essere scelte da un utente. È difficile trovare chi usi combinazioni come
3f.9oP-H mentre è non è difficle trovare matteo oppure 26041999.
Ciò accade perché le persone tendono a usare come password parole o sequenze numeriche che gli siano familiari, come il nome di un parente o la data di
nascita di un figlio. Inoltre, anche quando è data la possibilità di utilizzare caratteri maiuscoli e minuscoli per rendere più complessa la chiave di
accesso, si tende a usare tutte le lettere minuscole, in modo da avere una difficoltà in meno da tenere a mente.
Ne consegue che in molti casi basta sapere pochi dati biografici di un utente per ricavarne la password, o almeno circoscrivere di molto quelle possibili.
Un altro errore comune è quello di utilizzare termini di senso compiuto appartenenti alla propria lingua, o peggio ancora all’inglese: quando un male intenzionato
cerca d’accedere per tentativi al posto nostro in genere utilizza programmi che si basano sui dizionari, cioè tentano con le parole in essi contenute.
Ne consegue che anche una password apparentemente originale quale spinterogeno non è poi una gran difesa!
Ancora più sprovveduto è chi utilizza una password che sia identica allo username o ne sia una parte, oppure chi non la usa proprio (cioè la lascia vuota)
anche se paradossalmente una parola d’ordine che non c’è è meno banale di una come abcd.
CREARE UNA PASSWORD NON PREVEDIBILE
Una password è tanto più sicura quanto più è complicata, senza senso e difficile da ricordare.
Il metodo più sicuro è averne una generata a caso.
Potete aprire un libro un tot di volte e vedere la prima lettera della prima riga, oppure usare i numeri di pagina, o mischiare le due cose.
Oppure andare in rete e cercare qualche generatore grauito, on-line o da scaricare, come questi:
http://www.folder-password-expert.com/password-generator.html
http://www.winguides.com/security/password.php
http://www.wincatalog.com/pasgen.html
Se non vi soddisfano potete cercare un programma voi stessi con
google
Un altro metodo è quello di usare sequenza di caratteri apparentemente senza senso, ma che in realtà un logica ce l’hanno.
Che ne pensate di lmmgvsd7? È formata dalla prima lettera di ogni giorno della settimana più il numero dei giorni.
Da cosa deriva griouslsiia? È la mescolanza del nome Giulia Rossi utilizzando alternate una lettera del nome e una del cognome (anche se ripetiamo che i
dati anagrafici sarebbe meglio evitarli)
Impossibile tenere a mente 7f5a6g6?
Forse no se spieghiamo che è stata creata usando il numero di lettere della parola Gennaio (cioè 7) e l’iniziale di
Febbraio (cioè f), il numero di lettere della parola Marzo (cioè 5) e l’iniziale di Aprile (cioè a) e così via alternando.
Che ne pensate di fiidesct? Eppure è il nostro inno! O meglio, la lettera iniziale delle parole (esclusi articoli, preposizioni ed “è”) della prima strofa.
Fratelli d’Italia,
l’Italia s’è desta,
dell’elmo di Scipio
s’è cinta la testa
Come avrete capito non è tanto importante ricordare la sequenza in sé, quanto la logica che c’è dietro per poterla ricavare ogni volta che ci servisse.
Questi sono solo esempi, basati sul fatto che pur utilizzando nozioni comuni (come i nomi di giorni, mesi ecc.) vengono sfruttati in maniera fantasiosa.
Ovviamente più utilizzerete fonti originali (canzoni dialettali, poesie poco conosciute, numeri particolari) e più vi ispirerete ad essi in maniera bizzarra
(considerandone solo le prime lettere, o le ultime, o le sillabe, o mescolandole…) più potrete essere sicuri di essere giunti a una combinazione assolutamente
unica e insospettabile.
Che la vostra password sia stata generata in maniera casuale o con chissà quale ragionamento, l’importante è che sfruttiate al meglio le possibilità di
complicarla:
usate la lunghezza massima di caratteri disponibili
se potete mescolare numeri e lettere fatelo
se c’è differenza tra l’uso di maiuscole e minuscole usatele entrambe
se è concesso l’uso di caratteri di punteggiatura metteteceli
Se una volta seguiti questi consigli volete misurare l’efficacia del vostro operato seguite questo link:
http://www.microsoft.com/italy/athome/security/privacy/password_checker.mspx
Intercettazione della password
Ok, abbiamo una password che sicuramente non è intuibile. L’unica altra nostra vulnerabilità potrebbe essere l’intercettazione!
Per questo motivo è scontato dire che è assolutamente vietato annotare le password su foglietti da tenere vicino al pc… sarebbe come tenere il bancomat
e il bigliettino con scritto il suo pin entrambi nel portafogli, per la gioia di un eventuale ladro.
Attenzione anche a non avere gente dietro mentre digitate i dati di accesso, l’occhio umano è ancora un buon metodo per spiare…
Un’altra buona regola è quella di fare il log-out o comunque uscire dalla videata dei dati per i quali era stato necessario autenticarsi appena si è finito
di consultarli. Accedere alla propria posta online e poi lasciarla in bella vista a computer incustodito vanificherebbe i nostri sforzi precedenti.
Se non volete lasciare tracce degli username e delle password digitate nei siti web svuotatele o disabilitate il completamente automatico.
In Internet Explorer lo trovate in Strumenti > Opzioni Internet > Contenuto completamento automatico
In Firefox lo trovate in Strumenti > Opzioni > Password e Moduli salvati
In generale non lasciate le password memorizzate nei pc per evitare di ri-digitarle.
Lasciarle memorizzate un rischio in più da farle trovare ed esporle ai tentativi di decriptazione. Su Windows 98/ME ad esempio scoprire cosa celano gli
asterischi è un gioco da ragazzi. Su un Windows 2000/XP la cosa è più difficile ma non impossibile.
Un pericolo per la privacy è spesso rappresentato dai keylogger, virus e spyware, che in varie maniere e in vari gradi registrano quello che digitiamo sul
computer e lo inviano o lo mostrano via web ad altri (in realtà sono tre tipi di malware molto diversi, ma qui vogliamo semplificare e poi la distinzione
non è poi sempre così netta).
Per combatterli è necessario un antivirus anche gratuito.
sempre attivo e aggiornato. Inoltre è buona regola dotarsi di un firewall, anche questo più essere freeware.
in modo da controllare che non vi siano software sconosciuti che a nostra insaputa tentano di accedere dal computer verso la rete esterna per inviare informazioni.
Per verifcare la sicurezza di una macchina protetta da firewall consigliamo questo piccolo test, assolutamente innoquo ma dimostrativo di come alcune tecniche
avanzate di intercettazione riescano a aggirare molti controlli.
http://www.pcinternetpatrol.com/pcaudit
In pratica scaricate il programma cliccando su Download, lo avviate, premete Next un paio di volte dopo aver accettato le condizioni del programma cliccando
sulla casella “I agree” (non temete, si dice solo che il software è dimostrativo e inoffensivo), se volete scrivete la vostra mail per vedere come i dati
potrebbero essere tranquillamente spediti a dei malfattori e quando siete pronti premete “Continue”. Vi verrà chiesto di scrivere qualcosa come se lavoraste
normalmente al pc e alla fine premendo “View report” verrete catapultati su una pagina dove sono state trasmesse la foto del vostro schermo, la lista delle
cartelle contenute in Documenti e quello che stavate scrivendo. In basso troverete il pulsante “Delete page!” per cancellare la pagina.
Ovviamente se il test riesce significa che il vostro firewall non vi protegge al 100% anche se è doverso dire che non ci risulta che il metodo di attacco
di questo programmino sia mai stato sfruttato da qualche malware ad oggi conosciuto.
Altri test di questo tipo, altrimenti detti
PoC,
sono disponibili qui:
http://www.firewallleaktester.com/index.html
Infine, l’ultimo baluardo dell’intercettazione dei dati è lo sniffing (solitamente tipico della lan) ma per questo argomento rimandiamo alla
specifica guida
Custodire le password:
Il metodo migliore per custodire una password in modo che altri non la sappiano è ricordarla a memoria.
Incredibile ma vero, è anche la mainiera più sicura per perderla!
Se la parola segreta è una sola il problema è limitato. Ma chi naviga molto sul web ha spesso vari account, uno per la posta, uno per ogni forum, per le
chat, per i siti che vendono in rete, per i videogiochi on-line… e a questo punto ci troviamo di fronte ai seguenti problemi:
Tanti più account si hanno tanto più è sicuro avere password diverse.
Averne una sola per tutti gli account significa aumentare le probabilità che venga intercettata una volta e usata per accedere pure agli altri log-in (dipende
se si è usato pure lo stesso username o se comunque è intuibile)
Si potrebbe pensare che usare tante password diverse risolva ogni questione: non è così
Più password si hanno maggiore è la probabilità di dimenticarne qualcuna
Credete che basti segnarsele da qualche parte?
Più promemoria di password si conservano tanto più è probabile che uno di essi venga trovato dai male intenzionati
Dove si trova la soluzione? Molti credono che risieda nel conservare la lista delle password in un elenco criptato protetto a sua volta da una password.
Ciò comporta l’uso di programmi appositi come i seguenti (ne presentiamo solo qualcuno, freeware, come esempio):
http://keepass.sourceforge.net/
http://www.romanlab.com/apw/
Ma sorgono tre inconvenienti:
Avere a portata di mano le password significa dover avere sempre appresso il programma per decriptarle e il file in cui sono custodite
Se si decide affidare le proprie parole d’ordine a un software è bene avere una copia del file con la lista nel caso il supporto su cui è memorizzato (sia
esso l’hard disk, un CD, un DVD, un floppy o una penna usb) si danneggi o venga smarrito
Proteggere le varie password con una password significa in gran parte affidare la sicurezza a quest’ultima. Diventa quindi vitale che sia il più lunga e
complessa possibile
Vediamo come possiamo fare ovviare a tali inconvenienti:
Il primo problema in realtà può essere in parte risolto con un sistema abbastanza semplice: possiamo scrivere la lista in un semplice file TXT e poi metterlo
in un file ZIP o RAR con password.
Questi formati sono comunissimi e praticamente tutti i computer e tutti i sistemi operativi Windows, Linux e Mac hanno programmi per gestirli.
Ciò significa avere la possibilità di poter sempre accedere alle proprie password senza mai incorrere nel problema che il proprio particolare programma
di decriptazione della lista non parta sul PC tal dei tali per problemi di dll, di limitazione dell’account usato nell’esecuzione di software, compatibilità
col sistema operativo o altro.
Il “contro” è dato dal fatto che essendo formati comuni esistono decine di programmi creati per cercare di forzarne l’accesso. Fortunatamente con l’adozione
delle specifiche AES di
winzip
winratr
e l’uso di chiavi molto lunghe e complesse i rischi sono molto limitati.
La copia di sicurezza della lista delle password è bene tenerla al sicuro, su un supporto custodito in luogo inaccessibile al riparo da calore, urti e flussi
elettromagnetici (l’influenza di questi ultimi dipende se si è usato un supporto magnetico tipo USB o Floppy invece di uno ottico come CD eDVD). Si può
anche pensare di custodire una copia del file con l’elenco criptato in uno spazio web. Questo risolverebbe anche il precedente problema del trasporto (ormai
quasi tutti i pc sono connessi o hanno la possibilità di connettersi a Internet) e del danneggiamento del supporto ma ciò significa anche esporre potenzialmente
il file agli attacchi di qualunque utente disponga di un modem. Ovviamente si dovrebbe supporre che altri sappiano della presenza del file sul web, che
sappiano l’indirizzo dove trovarlo e che non ci siano ulteriori login da fare online per accedervi.
Per la sicurezza della password di acesso alla lista non ci sono considerazioni particolari da fare. Come abbiamo già avuto occasione di dire sarà opportuno
sceglierla accuratamente dato che tutto dipende da essa. Il motto nella sua generazione deve essere “complessità”
La sicurezza necessaria
Abbiamo esaminato fino ad ora come protteggere i dati con le password: non ci siamo però preoccupati dell’importanza di tali dati!
Così come una cassaforte è più soggetta a tentativi di effrazione quanto più è prezioso il suo contenuto cosi avviene per le informazioni.
La casella mail di una comune persona può essere al massimo soggetta ai tentativi di intrusione di qualche amico burlone o di un partner sospettoso.
Se invece ciò che vogliamo proteggere è di valore gli accorgimenti elencati fino ad ora potrebbero non bastare. Essendo questa una guida destinata a un
utente medio non ci addentreremo molto nella protezione avanzata di file e dati, ci limiteremo ad accennare tre strade, che per ora sono utilizzate principlamente
per l’accesso a computer aziendali o per siti e database molto complessi e specifici, mentre è ancora lontanto (forse) il giorno in cui verranno impiegate
per la consultazione della posta elettronica o altri impieghi comuni.
La prima strada si avvale di un frequente cambio password ogni tot giorni.
In genere è utilizzato dagli amministratori di rete per gli account dei pc ma si può applicare a tutti i login di cui è possibile modificare la password
di accesso.
La seconda strada invece fa uso di chiavi smart card. Parliamo quindi di supporti che permettono l’autenticazione una volta inseriti in appositi lettori
e digitato un relativo pin.
L’accesso è quindi subordinato sia a un codice che a una “chiave” fisica. Per ulteriori informazioni rimandiamo al seguente link:
http://www.microsoft.com/italy/technet/security/topics/networksecurity/securesmartcards/default.mspx
La terza strada è basata sulla biometria, cioè sul riconoscimenti di parti del corpo che sono uniche e irripetibili in ogni essere umano, come l’impronta
digitale o l’iride. Gli apparecchi per la lettura di dati biometrici sono ancora abbastanza costosi e relativamente poco diffusi, ma si suppone che in
futuro rimpiazzeranno password e smartcard. Nel frattempo qualche prodotto destinato al grande pubblico è già disponibile. Ecco un
esempio indicativo
I passi da seguire per scegliere una buona password sono:
- Inserire password di minimo 8 caratteri.
- Non utilizzare i propri dati anagrafici (nome, cognome, etc.).
- Non mantenere troppo a lungo la stessa password.
- Utilizzare passwords diverse per ogni servizio/utenza/sito.
- Mischiare caratteri alfanumerici alternando maiuscole e minuscole (es.: Je44lU8384kE).
Articolo di
www.pc-facile.com