Mauro Vecchio

Un, due, tre, password!

Pubblicato uno studio statunitense che ha preso l'iniziativa dopo l'attacco di un cracker al sito Rockyou. Su 32 milioni di parole chiave svelate, i primi tre posti sono occupati da semplici cifre in sequenza

Roma - Nell'attuale realtà di Internet esistono svariati luoghi online dove ogni netizen deve necessariamente effettuare una registrazione, identificarsi con un nome utente e soprattutto una password. Credenziali d'accesso da tenere strette, da non dimenticare mai. E proprio per non ritrovarsi smemorati davanti ad un login, gli utenti della Rete sembrano preferire password elementari, di facile recupero mentale.

Come la serie di cifre 123456. Sarebbe questa, infatti, la regina delle password, almeno stando a svariati milioni di utenti statunitensi. Una top 3 da primi passi con la matematica: la seconda più utilizzata sarebbe 12345 e la terza - solo per i più arguti del calcolo progressivo - 123456789. A rivelarlo, un recente studio dell'Imperva Application Defense Center (ADC), società californiana impegnata nella protezione dei dati, in particolare in ambito business.

Nel dettaglio, l'analisi dell'ADC è partita da un preciso episodio nelle cronache della sicurezza informatica. Alla fine dello scorso anno, un misterioso cracker aveva sfruttato una seria vulnerabilità all'interno del database del sito di social networking Rockyou.com. In pratica, i 32 milioni di password archiviati dal sito erano presenti nel suo database a lettere (o numeri) che più chiare non si poteva.
Il cracker aveva così attinto al vasto repertorio di parole chiave, pubblicando un listone sul web, senza però identificare le password stesse con altri dati relativi agli utenti di Rockyou. All'ADC è venuta quindi la curiosità di andare a spulciare nel listone, facendo delle scoperte davvero interessanti.

Ad esempio che circa il 30 per cento degli utenti del sito avessero fatto uso di meno di cinque caratteri, o che circa il 50 per cento avesse optato per nomi comuni, parole da dizionario o appunto cifre consecutive. Password di una semplicità estrema, preoccupante se si considera - come ha sottolineato Imperva - che molti utenti conservano la stessa parola chiave per diversi login su Internet. Per non doverne ovviamente ricordare una per ogni servizio a cui si è registrati.

ADC ha suggerito invece di seguire quelli che sono gli attuali standard della NASA, che prevedono l'uso di password di almeno sette caratteri, possibilmente un cocktail di lettere maiuscole, minuscole, numeri e caratteri speciali come !, & e $. Assolutamente sconsigliato usare i nomi propri, come sembrano aver fatto molti utenti di Rockyou che hanno optato per Jessica e Ashley.

Un consiglio pratico è arrivato poi da Bruce Schneier, guru della cybersicurezza: "Prendete una frase e trasformatela in una password. Qualcosa come this little piggy went to market, che potrebbe diventare tlpWENT2m". Appunto, una parola lunga, composta da maiuscole, minuscole e numeri.

Restando in tema di parole chiave, alla fine dello scorso dicembre la popolare piattaforma di microblogging Twitter aveva pubblicato una lista di 370 password che sarebbero state bandite dagli accessi dei propri utenti. Al bando la password password, quella internet e molti nomi propri. Disperati moltissimi utenti di Rockyou: è stata bandita anche 123456.

Mauro Vecchio
Notizie collegate
31 Commenti alla Notizia Un, due, tre, password!
Ordina
  • Io mi sono occupato di questo problema e ho trovato questa soluzione:

    La sicurezza delle password per accedere ai siti finanziari con il browser Firefox non è impossibile. Questo testo descrive l'uso di parole segrete casuali da usare in modo comodo per accedere ai propri siti importanti come quelli finanziari.

    Per siti come la propria banca on line e paypal occorrono password di accesso sicure come quelle casuali e contemporaneamente comode da usare e facilmente ricordabili. Esiste più di un approccio a questa problematica, qui si illustrerà una soluzione.

    L'approccio è di avere due livelli di protezione, uno molto sicuro con le password casuali diverse per ogni sito importante e uno debole con una unica pwd semplice per gli altri siti. Da ricordare sarà una sola password sicura e complicata che si userà ogni giorno.

    In caso di disastro si dovranno ricordare la password complicata, quella semplice e un username.

    http://www.kensan.it/articoli/Password_gestione.ph...

    Questo tipo di gestione l'ho implementata sul mio pc linux e mi piacerebbe avere delle opinioni di qualsiasi tipo, anche negative. Ovviamente non è una gestione semplice da implementare perché richiede una certa competenza d'uso degli addon per firefox elencati ma estremamente comoda nell'uso.

    Opinioni?
  • Finché ogni servizio su Internet vorrà continuare a gestire le credenziali dei propri utenti, saremo costretti ad affrontare (almeno) due problemi:
    1) l'insicurezza dei database delle credenziali; in generale, ogni azienda tende ad investire sul proprio core business, e non sulle attività di supporto; in aggiunta, per risparmiare o per presunzione, si tende ad affidarsi a personale interno senza la dovuta preparazione e relative certificazioni, e ciò non garantisce certo la miglior sicurezza;
    2) la proliferazione di account e di password (in molti iniziano a rendersi conto che utilizzare la stessa su più servizi non è saggio), e la necessità di ricordarle tutte, porta ad una banalizzazione delle stesse;

    La centralizzazione della gestione delle proprie credenziali su un sito di propria fiducia, e l'utilizzo dell'autenticazione di questo per autenticarsi su altri siti porterebbe ad una drastica diminuzione delle password da ricordare, ed alla riduzione dei costi globali per la gestione della sicurezza delle credenziali (cfr. OpenID su Wikipedia: http://it.wikipedia.org/wiki/OpenID).

    Potenzialmente, chi dispone di un proprio server può utilizzare questo per gestire la propria autenticazione ovunque, senza dover fornire in nessun modo le proprie credenziali ad alcun sito esterno.

    Sulla pagina di Wikipedia sopra citata, trovate anche l'elenco dei servizi che già accettano l'autenticazione mediante OpenID.
  • Così si potrà accedere a tutto con una password sola, e se qualcuno la scopre non sarà più semplicemente in grado di leggere la tua posta, o di scrivere su un forum con il tuo nome, ma si impadronirà automaticamente di tutta la tua vita digitale; e non sarà difficile impadronirsi di ciò, se l'utente si ostina a usare password come 12345 (o peggio ancora: *****, perchè è l'unica password che il computer gli accetta....)
    non+autenticato
  • Avevo implicitato nel vantaggio della gestione di un unico account il fatto che, dovendo gestire una sola password, la si possa scegliere bene.

    Volevo citare anche un punto 3), ma non l'ho fatto per non essere banale (ma visto che mi costringete ...): come tutti sanno, l'anello più debole della catena della sicurezza è, molto spesso, l'essere umano, ed in particolare le eccelse cime di stupidità a cui riesce ad arrivare ...
  • > Avevo implicitato nel vantaggio della gestione di
    > un unico account il fatto che, dovendo gestire
    > una sola password, la si possa scegliere
    > bene.

    L'avevo capito; il punto è che per l'utente cretino un sistema del genere è ancora più pericoloso di quello attuale, e, purtroppo, di utenti cretini è pieno il mondo; hai presente quelli che scrivono il numero di bancomat sulla tessera? Oppure, quelli che si comprano una cassaforte, e poi lasciano la combinazione impostata in fabbrica (che è standard, e uguale su tutte le casseforti di quel modello, quindi è la prima che uno scassinatore va a provare)?



    >
    > Volevo citare anche un punto 3), ma non l'ho
    > fatto per non essere banale (ma visto che mi
    > costringete ...): come tutti sanno, l'anello più
    > debole della catena della sicurezza è, molto
    > spesso, l'essere umano, ed in particolare le
    > eccelse cime di stupidità a cui riesce ad
    > arrivare
    > ...

    Quoto
    non+autenticato
  • domanda,
    ma l'autenticazione con certificato digitale su smart card ? mi pare che sia più sicura dell'open_id.

    1' devi essere in possesso della smart card se no non entri
    2' devi conoscere il pin della smart card se no non la attivi
    3' puoi usare diversi certificati esempio uno per il lavoro e uno per casa (magari un terzo per le sciocchezze) cosi da preservare i + importanti
    4' non sei costretto a cambiare tutte le pass ogni 6 mesi che diventa un lavoro pesante e insicuro perchè essendo tante alla fine sei costretto a segnarle da qualche parte
    5' i certificati attuali con chiave privata a 1024 bit sono sicuri ma sappiamo bene che si potrebbe aumentare la dimensione della chiave visto che ormai le capacità di calcolo ci sono.
  • Il tuo computer ha il lettore di smart card? Il mio no (e nemmeno quelli che uso al lavoro); quindi, come farei a guardarmi la posta, ad esempio?
    non+autenticato
  • - Scritto da: angros
    > Il tuo computer ha il lettore di smart card? Il
    > mio no (e nemmeno quelli che uso al lavoro);
    > quindi, come farei a guardarmi la posta, ad
    > esempio?
    In ambiente professionale la firma digitale e il lettore di smart card si stanno diffondento, ci sono anche le sim su token usb che puoi collegare su una semplice USB .
  • Attacca un lettore di smart card al palmare e poi ne riparliamo.

    Grazie a questa furbata a Pordenone puoi andare in internet sulla rete wireless pubblica solo con un pc, il lettore di smart card e la tessera sanitaria.
    Quindi non con gli smarphone/palmari/nintendo DS e chi più ne ha più ne metta.

    Ora non so se sia ancora così, parlo dell'anno scorso
    Wolf01
    3342
  • Se hai una usb una pcmcia o un express card non c'è problema. A mio parere se ci fosse mercato potrebbero anche adattare dei lettori di sim a leggere le card crittografiche.
  • PCMCIA, nel palmare...

    Già tanto che qualche palmare permette l'usbhost, e comunque sempre alimentato esternamente, per collegare le chiavette usb, ma la maggior parte se lo sogna.

    IMHO soluzione non praticabile quella delle smart card, meglio un lettore di impronte a sto punto, 3/4 dei portatili HP ce l'hanno già, così pure vari palmari, netbook etc
    Wolf01
    3342
  • - Scritto da: Wolf01
    > PCMCIA, nel palmare...
    >
    > Già tanto che qualche palmare permette l'usbhost,
    > e comunque sempre alimentato esternamente, per
    > collegare le chiavette usb, ma la maggior parte
    > se lo
    > sogna.
    >
    > IMHO soluzione non praticabile quella delle smart
    > card, meglio un lettore di impronte a sto punto,
    > 3/4 dei portatili HP ce l'hanno già, così pure
    > vari palmari, netbook
    > etc

    Se l'obbiettivo è la sicurezza il lettore di impronte non la risolve perchè da qualche parte c'è un db con impronta e password quindi sei punto a capo.

    Il bello dei certificati digitali e che il riconsocimento avviene in maniera diversa (scambio di chiavi publiche e invio di messaggi criptati con chiave privata che attivi solo con la digitazione del pin)

    non so,
    nei vecchi sever 2003 avevo fatto una c.a. interna e mi emettevo dei certificati, li ho usati per 10 anni e devo dire che nel mio ambito è stata una soluzione efficace. Adesso i sistemisti con il 2008 non mi vogliono rifare la c.a. e sono un pò incazzato perchè in un giorno digiterò le pass 20 volte e ogni volta che mi collego in giro devo ricordarmi di non salvarla
  • - Scritto da: angros
    >

    Fantastico! Mi hai preceduto! OcchiolinoRotola dal ridere
    non+autenticato
  • Io uso sempre un bel trucchetto per password robuste e facili da ricordare, che con me ha sempre funzionato.

    Prendo un verso di una canzone, o di una poesia, che conosco a memoria, tipo "quarantaquattro gatti in fila per sei col resto di due".

    Poi prendo le varie iniziali, ed ottengo "qgifpscrdd".

    Infine, metto un carattere speciale (tipo #) all'inizio ed alla fine, e magari anche fra una riga e l'altra della canzone. Ottengo quindi

    "#qgifpscrdd#"

    Facile da ricordare, e molto robusta. Inoltre, dopo che l'avrete usata qualche volta, l'imparerete bene e la scriverete direttamente.

    Poi è ovvio che più aumentano, più è difficile ricordarsele tutte. In quel caso, un bel Keepass ed il mondo ti sorride...
  • io schiaffeggio letteralmente la tastiera (senza romperla !)
    escono fuori cose talmente casuali ....Sorride
    lo so, di certo non è mnemonica, infatti qualcosa la conosco e qualcuna la devo copiare (quelle meno importanti che uso di meno) ma secondo me, così e sicurissimoA bocca aperta
    non+autenticato
  • Esistono in rete già molti siti che mettono a disposizione liste di parole, sigle e anche serie di lettere senza senso, e relativa stringa in md5 ( non centinaia ma milioni di password), quindi un cracker in grado di estrarre una lista di password non avrebbe problemi anche a individuare molte password criptate anche a senso unico. La cosa importante è la sicurezza dei database, anche se è sempre meglio scegliere una password relativamente sicura.
  • certo che se ci metti 123456 .... abcdef, te lo vai proprio a cercare.
    L'ignoranza dilaga !!!!
    non+autenticato
  • Diciamo che sono un ladro.
    E diciamo che mi accingo ad entrare in un appartamento.
    E diciamo infine che, con enorme sorpresa, trovo le chiavi attaccate alla serratura.Sorride
    Se mi prendono potranno incriminarmi per furto, ma non per scasso.
    Dovrebbe valere anche per i reati informatici...
    H5N1
    1641
  • Fa il pari con la password "password".
    Se invece l'amministratore di rete impone di usare una password con almeno una lettera, un numero e un segno di interpunzione vuoi sapere quale sarà la più gettonata?
    a1*
    non+autenticato
  • Oppure 8 asterischi direttamente
    Wolf01
    3342