Il problema non sono le password

Ma la loro gestione da parte degli amministratori e sui sistemi: questa la tesi di un lettore secondo cui la moltiplicazione delle password costringe l'utente a ricorrere a parole d?ordine sempre uguali e, quindi, insicure

Roma - Prendo spunto da una considerazione riportata nell'articolo sul telelavoro. Viene considerato come rischioso il fatto che le persone utilizzino la stessa password per accedere a servizi differenti su Internet (e non). È assolutamente vero che questo comportamento è una seria minaccia alla sicurezza, sia per quanto riguarda l'accesso ai dati che per le responsabilità attribuibili all'utente.

D'altra parte ritengo assolutamente sbagliato bollare questo comportamento come assurdo: al giorno d'oggi è normale dover gestire decine di password (per l'accesso a vari elaboratori, programmi, caselle di posta, account di assistenza su Internet, e così via). Non è umanamente possibile ricordarsi cosí tante password, soprattutto se non banali, e cambiarle con un'adeguata frequenza.

Il vero problema sta nel fatto che tutte queste password vengono trasferite e memorizzate in chiaro da molti dei sistemi che offrono i servizi a cui accediamo (basti pensare alla posta elettronica, alla webmail, ed all'accesso a siti web protetti).
Chiunque abbia accesso al database di una webmail può ottenere la password in chiaro di chiunque, ed utilizzarla per accedere ad altri servizi. I nomi degli account sono anche facili da indovinare.

Occorre assolutamente passare a meccanismi crittografici non reversibili, in modo da garantire che le password non transitino mai in chiaro, e che non vengano mai memorizzate in chiaro su alcun server.

In aggiunta, l'autenticazione one-time è diventata ormai un must: i sistemi che si ricordano per noi le nostre password sono la dimostrazione che dobbiamo continuamente autenticarci sui più svariati servizi e risorse in Rete.

Ritengo importante che il Garante per la Privacy si muova nella direzione di una legge che obblighi tutti i fornitori di servizi ad implementare meccanismi sicuri per la gestione delle password, in quanto i buoni propositi non possono essere equiparati a garanzie.

Il passo successivo, ma urgente, è il certificato digitale personale, utilizzabile per effettuare one-time-login.

Cordiali saluti
Andrea R.

Gentile Andrea
concordo pressoché su tutto, conosco peraltro diverse persone che vivono di foglietti che ricordano le password più disparate, o che non trovano mai quando serve loro una certa password per un certo servizio: insomma il problema è ampio.
Più che regolamenti ad hoc, a mio avviso all'atto della sottoscrizione di un servizio all'utente dovrebbe essere data notizia di come le sue password verranno gestite, con quale sicurezza e con quale modalità, affinché ciascuno sia libero di scegliere.
Val la pena poi ricordare che ci sono una certa quantità di software, da KeePass Safe a Password Manager passando per Password Guard o Password Corral che facilitano l'archiviazione anche di grandi quantità di password e anche in mobilità.
Ciao, a presto! Alberigo Massucci
TAG: sicurezza
25 Commenti alla Notizia Il problema non sono le password
Ordina
  • uso un Mac
    http://www.apple.com/it/macosx/features/security/

    Portachiavi protetto
    Per facilitare la gestione dell?incredibile numero di password e privilegi propri degli ambienti di rete, Mac OS X include la funzionalità Portachiavi, che raccoglie tutte le informazioni necessarie per accedere a immagini disco codificate e a file server, server FTP e web server. Mac OS X aggiunge automaticamente al Portachiavi i dati del vostro account .Mac. Quando effettuate il login al sistema, il Portachiavi viene sbloccato, quindi non dovrete indicare nome utente e password per accedere ai suoi contenuti. Potete impostare Mac OS X in modo che il Portachiavi venga bloccato quando il computer entra in stop o rimane inattivo per un certo periodo di tempo. In tal caso, il sistema vi chiederà la vostra password la prossima volta che cercherete di accedere ai dati protetti. E ovviamente il vostro Portachiavi e il suo contenuto sono off-limits per gli altri utenti del computer.

    Io lo uso da OS9 e non immaginavo che fosse un problema per Windows... le mie password sono tutte diverse, criptate ma a portata di mano...

    Fan Apple
    non+autenticato
  • Copio e incollo dal sito "pianosicurezza.it"

    "Password Manager offre la possibiltà di archiviare i propri dati personali in maniera veloce e sicura grazie alla protezione del suo database con chiavi di crittografia a 256 bit.

    "Password Manager è rilascitato con licenza GNU ed è quindi freeware. Può essere scaricato e distribuito liberamente senza alcun vincolo.
    E' vietato decodificare il programma e non vengono forniti i sorgenti."

    Ho provato l'installante ed effettivamente la licenza riportata è la classica "GNU" ... ma come fa' ad essere GNU se "NON VENGONO FORNITI I SORGENTI?"

    Forse i signori di Pianosicurezza dovrebbero cambiare licenza (magari una BSD andrebbe benissimo)??





  • - Scritto da: erisk
    > Copio e incollo dal sito "pianosicurezza.it"
    >
    > "Password Manager offre la possibiltà di
    > archiviare i propri dati personali in maniera
    > veloce e sicura grazie alla protezione del suo
    > database con chiavi di crittografia a 256 bit.
    >
    > "Password Manager è rilascitato con licenza GNU
    > ed è quindi freeware. Può essere scaricato e
    > distribuito liberamente senza alcun vincolo.
    > E' vietato decodificare il programma e non
    > vengono forniti i sorgenti."
    >
    > Ho provato l'installante ed effettivamente la
    > licenza riportata è la classica "GNU" ... ma come
    > fa' ad essere GNU se "NON VENGONO FORNITI I
    > SORGENTI?"
    >
    > Forse i signori di Pianosicurezza dovrebbero
    > cambiare licenza (magari una BSD andrebbe
    > benissimo)??


    ci sono alternative se vuoi, tutte in PI Download
    http://punto-informatico.it/cerca.asp?s=password+m...

    a ognuno.. il suoOcchiolino

    LucaS
  • Imparo a memoria una e una sola sequenza di numeri/lettere

    es:
    4r3ueu94

    In base al sito in cui mi registro, prendo alcune lettere che lo caratterizzano (es: yahoo.it   prendo yait)

    Utilizzo una funzione semplice ( che non citoSorride ma potete inventarvela ) per trasformare la sequenza di partenza attraverso le lettere che caratterizzano il servizio.

    quindi in yahoo.it avrò password rjr494jrje39j8 in gmail avrò r4ur94i949i3i e non ho necessità di consocerle a memoria, visto che posso ricostruirle a mente ricordandomi una sola e unica sequenza.



    non+autenticato

  • Certo la tua tecnica è sicuramente meglio che la password stupida, questa strategia la usavo pure io.
    Ha però dei problemi:
    - così facendo sarai portato a non cambiare mai la password nel tempo, perchè dovresti cambiare l'algoritmo, e saresti daccapo.
    - se qualcuno viene a conoscere casualmente una tua password, potrà desumere con facilità le altre

    La vera soluzione è un password manager.
    "Un'unica password per ricordarle tutte......"

    Caratteristica per me fondamentale è che sia portabile, quello che uso io sta su una pendrive e non ha bisogno di setup. I dati sono tutti crittati ovviamente. Inoltre possedendo un sistema di copia incolla delle password riesce a fregare pure i keylogger.
    non+autenticato

  • Ah dimenticavo....
    Il backup è d'obbligo.... magari in duplice copia!
    non+autenticato

  • - Scritto da: Anonimo
    > Imparo a memoria una e una sola sequenza di
    > numeri/lettere
    >
    > es:
    > 4r3ueu94
    >
    > In base al sito in cui mi registro, prendo alcune
    > lettere che lo caratterizzano (es: yahoo.it
    > prendo yait)
    >
    > Utilizzo una funzione semplice ( che non citoSorride
    > ma potete inventarvela ) per trasformare la
    > sequenza di partenza attraverso le lettere che
    > caratterizzano il servizio.
    >
    > quindi in yahoo.it avrò password rjr494jrje39j8
    > in gmail avrò r4ur94i949i3i e non ho necessità di
    > consocerle a memoria, visto che posso
    > ricostruirle a mente ricordandomi una sola e
    > unica sequenza.
    >
    >
    >
    e se ti arriva una botta in testa? Rotola dal ridere
    non+autenticato
  • > Il vero problema sta nel fatto che tutte
    > queste password vengono trasferite e
    > memorizzate in chiaro da molti dei sistemi
    > che offrono i servizi a cui accediamo (basti
    > pensare alla posta elettronica, alla webmail,
    > ed all'accesso a siti web protetti).

    E questo chi lo dice? A me risulta che con il pop3, che è il protocollo più diffuso per l'accesso alla posta, le password viaggino in chiaro. Questo non significa che vengano memorizzate in chiaro, né su un server classico né su una interfaccia webmail. Se per siti web protetti si intende la crittografia SSL, l'affermazione è falsa, se si intendono i meccanismi di autenticazione con scambio di nome utente e password, in effetti l'autenticazione base su un sito non SSL ha le password che viaggiano in chiaro, ma ci sono altri sistemi che non soffrono di questi problemi.

    > Chiunque abbia accesso al database di una
    > webmail può ottenere la password in chiaro
    > di chiunque, ed utilizzarla per accedere ad
    > altri servizi. I nomi degli account sono anche
    > facili da indovinare.

    A me questa pare pura fantasia. Quali sono i sistemi che memorizzano le password in chiaro? Io non ne conosco tanti, specialmente un sistema di webmail che, in genere, è un programma usato da un considerevole numero di persone, è sviluppato e mantenuto attivamente, non è insomma la classica applicazione fatta da un giorno all'altro dall'hobbista in cantina.
    DPY
    380

  • - Scritto da: DPY
    > > Il vero problema sta nel fatto che tutte
    > > queste password vengono trasferite e
    > > memorizzate in chiaro da molti dei sistemi
    > > che offrono i servizi a cui accediamo (basti
    > > pensare alla posta elettronica, alla webmail,
    > > ed all'accesso a siti web protetti).
    >
    > E questo chi lo dice? A me risulta che con il
    > pop3, che è il protocollo più diffuso per
    > l'accesso alla posta, le password viaggino in
    > chiaro. Questo non significa che vengano
    > memorizzate in chiaro, né su un server
    > classico né su una interfaccia webmail. Se per
    > siti web protetti si intende la crittografia SSL,
    > l'affermazione è falsa, se si intendono i
    > meccanismi di autenticazione con scambio di nome
    > utente e password, in effetti l'autenticazione
    > base su un sito non SSL ha le password che
    > viaggiano in chiaro, ma ci sono altri sistemi che
    > non soffrono di questi problemi.
    >
    > > Chiunque abbia accesso al database di una
    > > webmail può ottenere la password in chiaro
    > > di chiunque, ed utilizzarla per accedere ad
    > > altri servizi. I nomi degli account sono anche
    > > facili da indovinare.
    >
    > A me questa pare pura fantasia. Quali sono i
    > sistemi che memorizzano le password in chiaro? Io
    > non ne conosco tanti, specialmente un sistema di
    > webmail che, in genere, è un programma usato da
    > un considerevole numero di persone, è sviluppato
    > e mantenuto attivamente, non è insomma la
    > classica applicazione fatta da un giorno
    > all'altro dall'hobbista in cantina.

    Sicuramente tutti quelli che ti permettono di recuperare la password "dimenticata".
    Non c'avevi pensato, vero?
    non+autenticato
  • A parte il fatto che non vedo un grande acume nel quotare tutto il messaggio per mettere due righe di risposta, quali sono questi sistemi? Quelli che conosco io permettono di cambiare la password sulla base di certe azioni fatte dall'utente per provare la sua identità, non di recuperarla, il che è cosa ben diversa. Che poi ci possano essere dei sistemi, anche di largo uso, che usino questo approccio, è possibile, ma qanto sono 'critici' questi sistemi? La webmail di libero (ammesso e non concesso che lo faccia) non è un sistema critico, a dispetto dei poveri di spirito che ci mettono la casella aziendale.
    DPY
    380
  • Straquoto DPI
    Anlan
    1327
  • pwgen -cnsC 12

    Per ogni servizio serio di cui ci si possa fidare (password di root sul proprio PC, account utente locali, servizi che fanno viaggiare i dati tramite protocolli criptati, wallet, ...) una password diversa, generata con pwgen, da almeno 12 caratteri, con all'interno maiscole, minuscole e numeri, così che nel caso in cui una di queste venisse compromessa (fatta eccezione per i wallet, i raccoglitori di password) non si abbia un effetto a catena.

    GPG per le email e download in locale di quelle importanti, così che non restino (per molto tempo, perché comunque non possono tenere fisicamente copia di tutto ciò che gli passa) sul server della web-mail.

    Per ogni altro servizio di cui non ci si può fidare o sul quale non viaggiano dati importanti, pippo, pluto e paperino, e tutto in chiaro va più che bene.
    non+autenticato

  • - Scritto da: Anonimo
    > pwgen -cnsC 12
    >
    > Per ogni servizio serio di cui ci si possa fidare
    > (password di root sul proprio PC, account utente
    > locali, servizi che fanno viaggiare i dati
    > tramite protocolli criptati, wallet, ...) una
    > password diversa, generata con pwgen, da almeno
    > 12 caratteri, con all'interno maiscole, minuscole
    > e numeri, così che nel caso in cui una di queste
    > venisse compromessa (fatta eccezione per i
    > wallet, i raccoglitori di password) non si abbia
    > un effetto a catena.
    >
    Il problema di ricordarsele non viene evitato in questo modo, però!

  • - Scritto da: matcion
    >
    > - Scritto da: Anonimo
    > > pwgen -cnsC 12
    > >
    > > Per ogni servizio serio di cui ci si possa
    > fidare
    > > (password di root sul proprio PC, account utente
    > > locali, servizi che fanno viaggiare i dati
    > > tramite protocolli criptati, wallet, ...) una
    > > password diversa, generata con pwgen, da almeno
    > > 12 caratteri, con all'interno maiscole,
    > minuscole
    > > e numeri, così che nel caso in cui una di queste
    > > venisse compromessa (fatta eccezione per i
    > > wallet, i raccoglitori di password) non si abbia
    > > un effetto a catena.
    > >
    > Il problema di ricordarsele non viene evitato in
    > questo modo, però!

    Non è un problema è una feature.

    Scherzi a parte, se sono molte e viene difficile ricordarsele GPG e una chiavetta USB e il gioco e fatto.
    Comunque per quanto mi riguarda dopo la quinta - sesta volta che digito la stessa password la ricordo senza problemi, anche se non ha senso ed è piena di maiuscole minuscole e numeri e ha 12 o più caratteri. Questione di abitudine. Ad esempio al momento ne ricordo perfettamente 7 tra cui 2 che mi consentono di accedere una al raccoglitore di password di KDE e l'altra a quello di Firefox.

    Quelle più critiche (root, server remoti, conto in banca, ...) poi le cambio periodicamente. È solo una questione di abitudine.

    E poi tiene allenata la mente A bocca aperta .
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)