Password sicure: la base della sicurezza informatica: differenze tra le versioni

(Prima versione)
 
m (Annullata la modifica 38709 di HAL 9000 (discussione) - ripristino template)
 
(13 versioni intermedie di 6 utenti non mostrate)
Riga 1: Riga 1:
{{Versioni compatibili}}
==Introduzione==
==Introduzione==


Molti utenti non prendono molto in considerazione l'importanza di una password 'decente', in quanto pensano che a nessuno interessi il proprio sistema oppure che avere una password complessa e/o diversa da quelle normalmente scelte sia una cosa faticosa/per paranoici!
Molti utenti non prendono molto in considerazione l'importanza di una password 'decente', in quanto pensano che a nessuno interessi il proprio sistema oppure che avere una password complessa e/o diversa da quelle normalmente scelte sia una cosa faticosa o per paranoici.
Bene, non è così!
Bene, non è così!
L'importanza di scegliere una password 'difficile' è fondamentale, essendo una facile chiave di accesso ai nostri dati.
L'importanza di scegliere una password 'difficile' è fondamentale, essendo una facile chiave di accesso ai nostri dati.




==Generazione di Password: Come Fare==
==Generazione di password: come fare==


Quante volte ci siamo trovati davanti ad una riga con scritto ''Password:'' senza sapere che cosa inserire? Immagino tante, tantissime!
Quante volte ci siamo trovati davanti ad una riga con scritto ''Password:'' senza sapere che cosa inserire? Immagino tante, tantissime!
Scegliare una buona password non è facile, ma non è nemmeno impossibile!!!
Scegliere una buona password non è facile, ma non è nemmeno impossibile.
Ecco una piccola lista delle caratteristiche principali che dovrebbe avere ogni password:
Ecco una piccola lista delle caratteristiche principali che dovrebbe avere ogni password:
* Non deve essere banale (casa, gatto, il nome della persone, la data di nascita), in quanto uno dei primi sistemi per cercare la password di una persone è proprio quello di analizzare la sua vita (supponendo che l'attaccante possa entrare in comunicazione con l'attaccato), e questo genere di password è quello più facile da scoprire.
* non deve essere banale (casa, gatto, il nome della persone, la data di nascita), in quanto uno dei primi sistemi per cercare la password di una persone è proprio quello di analizzare la sua vita (supponendo che l'attaccante possa entrare in comunicazione con l'attaccato), e questo genere di password è quello più facile da scoprire;
* Non deve essere una sola parola ripetuta più volte: non penso che 'gattogatto' sia più difficile da indovinare di 'gatto';
* non deve essere una sola parola ripetuta più volte: non penso che 'gattogatto' sia più difficile da indovinare di 'gatto';
* Non dovrebbe essere riconducibile a qualche cosa della propria vita;
* non dovrebbe essere riconducibile a qualche cosa della propria vita;
* Non deve essere una parola di senso compiuto: spesso, infatti, vengono fatti attacchi con dei dizionari, che riescono a forzare in pochissimo tempo questo genere di password;
* non deve essere una parola di senso compiuto: spesso, infatti, vengono fatti attacchi con dei dizionari, che riescono a forzare in pochissimo tempo questo genere di password;
* Deve contenete altri caratteri oltre alle sole lettere maiuscole: ciò consente di ampliare l'elenco dei caratteri disponibili in caso di attacco brute force...  
* deve contenere altri caratteri oltre alle sole lettere maiuscole: ciò consente di ampliare l'elenco dei caratteri disponibili in caso di attacco brute force.  


Per esempio, supponiamo di scegliere una password di 6 caratteri:  
Per esempio, supponiamo di scegliere una password di 6 caratteri:  
* se questa è formata da solo lettere minuscole, abbiamo 21^6 combinazioni possibili (non sono tante, anzi...);
* se questa è formata solo da lettere minuscole, abbiamo 21<sup>6</sup> combinazioni possibili (non sono tante, anzi);
* lettere minuscole e maiuscole: 42^6 (sempre troppo poche...);
* lettere minuscole e maiuscole: 42<sup>6</sup> (sempre troppo poche);
* numeri, minuscole e maiuscole: 52^6;
* numeri, minuscole e maiuscole: 52<sup>6</sup>;
* numeri, minuscole, maiuscole e una 15ina di caratteri 'speciali' (come _.,-^=%....): 62^6!!!
* numeri, minuscole, maiuscole e una quindicina di caratteri 'speciali' (come _.,-^=%....): 62<sup>6</sup>!!!
Come potete vedere, la differenza è grandissima!
Come potete vedere, la differenza è grandissima.


Siamo, quindi, arrivati davanti al problema cruciale: come generare questa password?
Siamo, quindi, arrivati davanti al problema cruciale: come generare questa password?
Riga 39: Riga 40:
o -> 0
o -> 0
</pre>
</pre>
Così è semplicissimo aumentare il numero di caratteri disponibili senza comprometterne la mnemonicità!
Così è semplicissimo aumentare il numero di caratteri disponibili senza comprometterne la mnemonicità.


# Usiamo qualche cosa di facile da ricordare!
Usiamo qualche cosa di facile da ricordare. ''Facile da ricordare'' non vuol dire, però, banale!
''facile da ricordare'' non vuol dire, però, banale!


'''Esempio:'''
'''Esempio:'''
Prensiamo una frase di una canzone:
Pensiamo ad una frase di una canzone:


''And I give up forever to touch you'' (Iris, GooGooDolls)
''And I give up forever to touch you'' (<small>Iris, GooGooDolls</small>)


La cosa che si nota a prima vista è la presenza di 8 parole (uhm...lunghezza minima di una password per quanto riguarda la nuova legge sulla privacy e sicurezza informatica!!!)
La cosa che si nota a prima vista è la presenza di 8 parole (uhm...lunghezza minima di una password per quanto riguarda la nuova legge sulla privacy e sicurezza informatica)
Bene, allora prendiamo l'iniziale di ogni parola:
Bene, allora prendiamo l'iniziale di ogni parola:


Riga 58: Riga 58:
Ora effettuiamo la sostituzione:
Ora effettuiamo la sostituzione:


''4Iguf77y''
''4Iguft7y''


Niente male!
Niente male!




'''Nb''': la "I" l'ho lasciata espressa in lettera maiuscola, così per aumentare un po' la fatica (modifica di un sistema oramai ben conosciuto)!
'''NB''': la "I" l'ho lasciata espressa in lettera maiuscola, così per aumentare un po' la fatica (modifica di un sistema oramai ben conosciuto), e soltanto una t a caso è diventata un 7.
Prima di finire, mettiamo qualche carattere:
Prima di finire, mettiamo qualche carattere:


''4Iguf-77y_''
''4Iguf-t7y_''


Ora abbiamo ottenuto una password di ben 10 caratteri non derivante da un dizionario! quindi l'unico attacco possibile è quelo brute force!
Ora abbiamo ottenuto una password di ben 10 caratteri non derivante da un dizionario, quindi l'unico attacco possibile è quello brute force.




Riga 74: Riga 74:


Vediamo, ora, come conservare correttamente una password.
Vediamo, ora, come conservare correttamente una password.
Si, perchè anche se usiamo una password difficile da trovare ma la scriviamo su un pezzo di carta...avete capito! Quindi niente post-it con password scritte, niente bigliattini nel portafoglio e così dicendo...
, perché anche se usiamo una password difficile da trovare ma la scriviamo su un pezzo di carta...avete capito! Quindi niente post-it con password scritte, niente bigliettini nel portafoglio e così dicendo...
La password non deve essere scritta da nessuna parte (ecco perchè abbiamo lavorato un po' sulla mnemonicità), altrimenti i nostri sforzi risultano vani!
La password non deve essere scritta da nessuna parte (ecco perché abbiamo lavorato un po' sulla mnemonicità), altrimenti i nostri sforzi risultano vani!
L'unico posto in cui potrebbe essere scritta (per quanto riguarda la legge sulla privacy e sicurezza informatica) è in un foglio di carta inserito in una busta sigillata da consegnare al responsabile (solo nei posti in cui è necessario rispettare la legge sulla privacy e sulla sicurezz a informatica).
L'unico posto in cui potrebbe essere scritta (per quanto riguarda la legge sulla privacy e sicurezza informatica) è in un foglio di carta inserito in una busta sigillata da consegnare al responsabile (solo nei posti in cui è necessario rispettare la legge sulla privacy e sulla sicurezza informatica).




Riga 82: Riga 82:


Prima di terminare, ecco alcuni consigli per mantenere ancora più sicura la password:
Prima di terminare, ecco alcuni consigli per mantenere ancora più sicura la password:
* non usarla in pubblico (o meglio...non facciamola vedere a chi è vicino a noi);
* non usarla in pubblico (o meglio: non facciamola vedere a chi è vicino a noi);
* se dobbiamo digitarla in luogo pubblico, confondiamo facendo finta di premere dei caratteri in più, magari digitando e cancellando...copriamo la tastiera con un foglio ed altri trucchetti simili;
* se dobbiamo digitarla in luogo pubblico, confondiamo facendo finta di premere dei caratteri in più, magari digitando e cancellando, copriamo la tastiera con un foglio ed altri trucchetti simili;
* Cerchiamo di usare connessioni sicure: preferiamo ssh a telnet, server con supporto ssl, sftp al posto di ftp e così via!
* cerchiamo di usare connessioni sicure: preferiamo ssh a telnet, server con supporto ssl, sftp al posto di ftp e così via;
* Non memorizziamola sul computer! altra cosa da evitare è quella di conservare la password in database volnerabili (InternetExplorer, Firefox, Kwallet (anche se questo una un sistema di crittazione basato su password..), in quanto è facile che un attaccante acceda a questi in caso di intromissione in una macchina.
* non memorizziamola sul computer! altra cosa da evitare è quella di conservare la password in database vulnerabili (InternetExplorer, Firefox, Kwallet (anche se questo usa un sistema di crittazione basato su password), in quanto è facile che un attaccante acceda a questi in caso di intromissione in una macchina.


==Conclusione==


==Conclusione==
Spero che questa piccola rassegna di suggerimenti su come gestire le password aiuti un po' di persone, e faccia riflettere sul social engineering.
 
{{Autori
|Autore=[[User:MaXeR|MaXeR]]
}}


Spero che questa piccola rassegna di suggerimenti su come gestire le password aiuti un po' di persone, e faccia riflettere sul social eng.
[[Categoria:Debian e sicurezza]]

Versione attuale delle 11:04, 11 apr 2016

Debian-swirl.png Versioni Compatibili

Tutte le versioni supportate di Debian

Introduzione

Molti utenti non prendono molto in considerazione l'importanza di una password 'decente', in quanto pensano che a nessuno interessi il proprio sistema oppure che avere una password complessa e/o diversa da quelle normalmente scelte sia una cosa faticosa o per paranoici. Bene, non è così! L'importanza di scegliere una password 'difficile' è fondamentale, essendo una facile chiave di accesso ai nostri dati.


Generazione di password: come fare

Quante volte ci siamo trovati davanti ad una riga con scritto Password: senza sapere che cosa inserire? Immagino tante, tantissime! Scegliere una buona password non è facile, ma non è nemmeno impossibile. Ecco una piccola lista delle caratteristiche principali che dovrebbe avere ogni password:

  • non deve essere banale (casa, gatto, il nome della persone, la data di nascita), in quanto uno dei primi sistemi per cercare la password di una persone è proprio quello di analizzare la sua vita (supponendo che l'attaccante possa entrare in comunicazione con l'attaccato), e questo genere di password è quello più facile da scoprire;
  • non deve essere una sola parola ripetuta più volte: non penso che 'gattogatto' sia più difficile da indovinare di 'gatto';
  • non dovrebbe essere riconducibile a qualche cosa della propria vita;
  • non deve essere una parola di senso compiuto: spesso, infatti, vengono fatti attacchi con dei dizionari, che riescono a forzare in pochissimo tempo questo genere di password;
  • deve contenere altri caratteri oltre alle sole lettere maiuscole: ciò consente di ampliare l'elenco dei caratteri disponibili in caso di attacco brute force.

Per esempio, supponiamo di scegliere una password di 6 caratteri:

  • se questa è formata solo da lettere minuscole, abbiamo 216 combinazioni possibili (non sono tante, anzi);
  • lettere minuscole e maiuscole: 426 (sempre troppo poche);
  • numeri, minuscole e maiuscole: 526;
  • numeri, minuscole, maiuscole e una quindicina di caratteri 'speciali' (come _.,-^=%....): 626!!!

Come potete vedere, la differenza è grandissima.

Siamo, quindi, arrivati davanti al problema cruciale: come generare questa password? Vediamo qualche trucco:

  1. Sostituiamo numeri alle lettere: seguendo questo schema, è possibile sostituire alcuni numeri a determinate lettere:
i/l -> 1
z -> 2
b/e -> 3
a -> 4
s -> 5
g -> 6
t -> 7
b -> 8
p -> 9
o -> 0

Così è semplicissimo aumentare il numero di caratteri disponibili senza comprometterne la mnemonicità.

Usiamo qualche cosa di facile da ricordare. Facile da ricordare non vuol dire, però, banale!

Esempio: Pensiamo ad una frase di una canzone:

And I give up forever to touch you (Iris, GooGooDolls)

La cosa che si nota a prima vista è la presenza di 8 parole (uhm...lunghezza minima di una password per quanto riguarda la nuova legge sulla privacy e sicurezza informatica) Bene, allora prendiamo l'iniziale di ogni parola:

aIguftty

Non ha molto senso come parola, vero? Bene...ottima cosa!!! Ora effettuiamo la sostituzione:

4Iguft7y

Niente male!


NB: la "I" l'ho lasciata espressa in lettera maiuscola, così per aumentare un po' la fatica (modifica di un sistema oramai ben conosciuto), e soltanto una t a caso è diventata un 7. Prima di finire, mettiamo qualche carattere:

4Iguf-t7y_

Ora abbiamo ottenuto una password di ben 10 caratteri non derivante da un dizionario, quindi l'unico attacco possibile è quello brute force.


Memorandum per la conservazione della password

Vediamo, ora, come conservare correttamente una password. Sì, perché anche se usiamo una password difficile da trovare ma la scriviamo su un pezzo di carta...avete capito! Quindi niente post-it con password scritte, niente bigliettini nel portafoglio e così dicendo... La password non deve essere scritta da nessuna parte (ecco perché abbiamo lavorato un po' sulla mnemonicità), altrimenti i nostri sforzi risultano vani! L'unico posto in cui potrebbe essere scritta (per quanto riguarda la legge sulla privacy e sicurezza informatica) è in un foglio di carta inserito in una busta sigillata da consegnare al responsabile (solo nei posti in cui è necessario rispettare la legge sulla privacy e sulla sicurezza informatica).


Appunto di Paranoia

Prima di terminare, ecco alcuni consigli per mantenere ancora più sicura la password:

  • non usarla in pubblico (o meglio: non facciamola vedere a chi è vicino a noi);
  • se dobbiamo digitarla in luogo pubblico, confondiamo facendo finta di premere dei caratteri in più, magari digitando e cancellando, copriamo la tastiera con un foglio ed altri trucchetti simili;
  • cerchiamo di usare connessioni sicure: preferiamo ssh a telnet, server con supporto ssl, sftp al posto di ftp e così via;
  • non memorizziamola sul computer! altra cosa da evitare è quella di conservare la password in database vulnerabili (InternetExplorer, Firefox, Kwallet (anche se questo usa un sistema di crittazione basato su password), in quanto è facile che un attaccante acceda a questi in caso di intromissione in una macchina.

Conclusione

Spero che questa piccola rassegna di suggerimenti su come gestire le password aiuti un po' di persone, e faccia riflettere sul social engineering.




Guida scritta da: MaXeR   Debianized 20%
Estesa da:
Verificata da:

Verificare ed estendere la guida | Cos'è una guida Debianized