6 999
contributi
Password sicure: la base della sicurezza informatica: differenze tra le versioni
Password sicure: la base della sicurezza informatica (visualizza wikitesto)
Versione delle 17:01, 17 gen 2010
, 17 gen 2010nessun oggetto della modifica
S3v (discussione | contributi) Nessun oggetto della modifica |
|||
| Riga 1: | Riga 1: | ||
==Introduzione== | ==Introduzione== | ||
Molti utenti non prendono molto in considerazione l'importanza di una password 'decente', in quanto pensano che a nessuno interessi il proprio sistema oppure che avere una password complessa e/o diversa da quelle normalmente scelte sia una cosa faticosa | Molti utenti non prendono molto in considerazione l'importanza di una password 'decente', in quanto pensano che a nessuno interessi il proprio sistema oppure che avere una password complessa e/o diversa da quelle normalmente scelte sia una cosa faticosa o per paranoici! | ||
Bene, non è così! | Bene, non è così! | ||
L'importanza di scegliere una password 'difficile' è fondamentale, essendo una facile chiave di accesso ai nostri dati. | L'importanza di scegliere una password 'difficile' è fondamentale, essendo una facile chiave di accesso ai nostri dati. | ||
| Riga 9: | Riga 9: | ||
Quante volte ci siamo trovati davanti ad una riga con scritto ''Password:'' senza sapere che cosa inserire? Immagino tante, tantissime! | Quante volte ci siamo trovati davanti ad una riga con scritto ''Password:'' senza sapere che cosa inserire? Immagino tante, tantissime! | ||
Scegliere una buona password non è facile, ma non è nemmeno impossibile!!! | |||
Ecco una piccola lista delle caratteristiche principali che dovrebbe avere ogni password: | Ecco una piccola lista delle caratteristiche principali che dovrebbe avere ogni password: | ||
* Non deve essere banale (casa, gatto, il nome della persone, la data di nascita), in quanto uno dei primi sistemi per cercare la password di una persone è proprio quello di analizzare la sua vita (supponendo che l'attaccante possa entrare in comunicazione con l'attaccato), e questo genere di password è quello più facile da scoprire. | * Non deve essere banale (casa, gatto, il nome della persone, la data di nascita), in quanto uno dei primi sistemi per cercare la password di una persone è proprio quello di analizzare la sua vita (supponendo che l'attaccante possa entrare in comunicazione con l'attaccato), e questo genere di password è quello più facile da scoprire. | ||
| Riga 15: | Riga 15: | ||
* Non dovrebbe essere riconducibile a qualche cosa della propria vita; | * Non dovrebbe essere riconducibile a qualche cosa della propria vita; | ||
* Non deve essere una parola di senso compiuto: spesso, infatti, vengono fatti attacchi con dei dizionari, che riescono a forzare in pochissimo tempo questo genere di password; | * Non deve essere una parola di senso compiuto: spesso, infatti, vengono fatti attacchi con dei dizionari, che riescono a forzare in pochissimo tempo questo genere di password; | ||
* Deve | * Deve contenere altri caratteri oltre alle sole lettere maiuscole: ciò consente di ampliare l'elenco dei caratteri disponibili in caso di attacco brute force. | ||
Per esempio, supponiamo di scegliere una password di 6 caratteri: | Per esempio, supponiamo di scegliere una password di 6 caratteri: | ||
* se questa è formata da | * se questa è formata solo da lettere minuscole, abbiamo 21^6 combinazioni possibili (non sono tante, anzi...); | ||
* lettere minuscole e maiuscole: 42^6 (sempre troppo poche...); | * lettere minuscole e maiuscole: 42^6 (sempre troppo poche...); | ||
* numeri, minuscole e maiuscole: 52^6; | * numeri, minuscole e maiuscole: 52^6; | ||
* numeri, minuscole, maiuscole e una | * numeri, minuscole, maiuscole e una quindicina di caratteri 'speciali' (come _.,-^=%....): 62^6!!! | ||
Come potete vedere, la differenza è grandissima! | Come potete vedere, la differenza è grandissima! | ||
| Riga 45: | Riga 45: | ||
'''Esempio:''' | '''Esempio:''' | ||
Pensiamo ad una frase di una canzone: | |||
''And I give up forever to touch you'' (Iris, GooGooDolls) | ''And I give up forever to touch you'' (Iris, GooGooDolls) | ||
| Riga 68: | Riga 68: | ||
''4Iguf-77y_'' | ''4Iguf-77y_'' | ||
Ora abbiamo ottenuto una password di ben 10 caratteri non derivante da un dizionario! | Ora abbiamo ottenuto una password di ben 10 caratteri non derivante da un dizionario! Quindi l'unico attacco possibile è quello brute force! | ||
| Riga 74: | Riga 74: | ||
Vediamo, ora, come conservare correttamente una password. | Vediamo, ora, come conservare correttamente una password. | ||
Sì, perché anche se usiamo una password difficile da trovare ma la scriviamo su un pezzo di carta...avete capito! Quindi niente post-it con password scritte, niente bigliettini nel portafoglio e così dicendo... | |||
La password non deve essere scritta da nessuna parte (ecco | La password non deve essere scritta da nessuna parte (ecco perché abbiamo lavorato un po' sulla mnemonicità), altrimenti i nostri sforzi risultano vani! | ||
L'unico posto in cui potrebbe essere scritta (per quanto riguarda la legge sulla privacy e sicurezza informatica) è in un foglio di carta inserito in una busta sigillata da consegnare al responsabile (solo nei posti in cui è necessario rispettare la legge sulla privacy e sulla | L'unico posto in cui potrebbe essere scritta (per quanto riguarda la legge sulla privacy e sicurezza informatica) è in un foglio di carta inserito in una busta sigillata da consegnare al responsabile (solo nei posti in cui è necessario rispettare la legge sulla privacy e sulla sicurezza informatica). | ||
| Riga 83: | Riga 83: | ||
Prima di terminare, ecco alcuni consigli per mantenere ancora più sicura la password: | Prima di terminare, ecco alcuni consigli per mantenere ancora più sicura la password: | ||
* non usarla in pubblico (o meglio...non facciamola vedere a chi è vicino a noi); | * non usarla in pubblico (o meglio...non facciamola vedere a chi è vicino a noi); | ||
* se dobbiamo digitarla in luogo pubblico, confondiamo facendo finta di premere dei caratteri in più, magari digitando e | * se dobbiamo digitarla in luogo pubblico, confondiamo facendo finta di premere dei caratteri in più, magari digitando e cancellando...copriamo la tastiera con un foglio ed altri trucchetti simili; | ||
* Cerchiamo di usare connessioni sicure: preferiamo ssh a telnet, server con supporto ssl, sftp al posto di ftp e così via! | * Cerchiamo di usare connessioni sicure: preferiamo ssh a telnet, server con supporto ssl, sftp al posto di ftp e così via! | ||
* Non memorizziamola sul computer! altra cosa da evitare è quella di conservare la password in database | * Non memorizziamola sul computer! altra cosa da evitare è quella di conservare la password in database vulnerabili (InternetExplorer, Firefox, Kwallet (anche se questo usa un sistema di crittazione basato su password..), in quanto è facile che un attaccante acceda a questi in caso di intromissione in una macchina. | ||
==Conclusione== | ==Conclusione== | ||
Spero che questa piccola rassegna di suggerimenti su come gestire le password aiuti un po' di persone, e faccia riflettere sul social | Spero che questa piccola rassegna di suggerimenti su come gestire le password aiuti un po' di persone, e faccia riflettere sul social engineering. | ||
---- [[User:MaXeR|MaXeR]] | ---- [[User:MaXeR|MaXeR]] | ||
[[Categoria:Sicurezza]] | [[Categoria:Sicurezza]] | ||