3 581
contributi
m (firma) |
m (Annullata la modifica 38709 di HAL 9000 (discussione) - ripristino template) |
||
(11 versioni intermedie di 6 utenti non mostrate) | |||
Riga 1: | Riga 1: | ||
{{Versioni compatibili}} | |||
==Introduzione== | ==Introduzione== | ||
Molti utenti non prendono molto in considerazione l'importanza di una password 'decente', in quanto pensano che a nessuno interessi il proprio sistema oppure che avere una password complessa e/o diversa da quelle normalmente scelte sia una cosa faticosa | Molti utenti non prendono molto in considerazione l'importanza di una password 'decente', in quanto pensano che a nessuno interessi il proprio sistema oppure che avere una password complessa e/o diversa da quelle normalmente scelte sia una cosa faticosa o per paranoici. | ||
Bene, non | Bene, non è così! | ||
L'importanza di scegliere una password 'difficile' | L'importanza di scegliere una password 'difficile' è fondamentale, essendo una facile chiave di accesso ai nostri dati. | ||
==Generazione di | ==Generazione di password: come fare== | ||
Quante volte ci siamo trovati davanti ad una riga con scritto ''Password:'' senza sapere che cosa inserire? Immagino tante, tantissime! | Quante volte ci siamo trovati davanti ad una riga con scritto ''Password:'' senza sapere che cosa inserire? Immagino tante, tantissime! | ||
Scegliere una buona password non è facile, ma non è nemmeno impossibile. | |||
Ecco una piccola lista delle caratteristiche principali che dovrebbe avere ogni password: | Ecco una piccola lista delle caratteristiche principali che dovrebbe avere ogni password: | ||
* | * non deve essere banale (casa, gatto, il nome della persone, la data di nascita), in quanto uno dei primi sistemi per cercare la password di una persone è proprio quello di analizzare la sua vita (supponendo che l'attaccante possa entrare in comunicazione con l'attaccato), e questo genere di password è quello più facile da scoprire; | ||
* | * non deve essere una sola parola ripetuta più volte: non penso che 'gattogatto' sia più difficile da indovinare di 'gatto'; | ||
* | * non dovrebbe essere riconducibile a qualche cosa della propria vita; | ||
* | * non deve essere una parola di senso compiuto: spesso, infatti, vengono fatti attacchi con dei dizionari, che riescono a forzare in pochissimo tempo questo genere di password; | ||
* | * deve contenere altri caratteri oltre alle sole lettere maiuscole: ciò consente di ampliare l'elenco dei caratteri disponibili in caso di attacco brute force. | ||
Per esempio, supponiamo di scegliere una password di 6 caratteri: | Per esempio, supponiamo di scegliere una password di 6 caratteri: | ||
* se questa | * se questa è formata solo da lettere minuscole, abbiamo 21<sup>6</sup> combinazioni possibili (non sono tante, anzi); | ||
* lettere minuscole e maiuscole: 42 | * lettere minuscole e maiuscole: 42<sup>6</sup> (sempre troppo poche); | ||
* numeri, minuscole e maiuscole: 52 | * numeri, minuscole e maiuscole: 52<sup>6</sup>; | ||
* numeri, minuscole, maiuscole e una | * numeri, minuscole, maiuscole e una quindicina di caratteri 'speciali' (come _.,-^=%....): 62<sup>6</sup>!!! | ||
Come potete vedere, la differenza | Come potete vedere, la differenza è grandissima. | ||
Siamo, quindi, arrivati davanti al problema cruciale: come generare questa password? | Siamo, quindi, arrivati davanti al problema cruciale: come generare questa password? | ||
Vediamo qualche trucco: | Vediamo qualche trucco: | ||
# '''Sostituiamo numeri alle lettere:''' seguendo questo schema, | # '''Sostituiamo numeri alle lettere:''' seguendo questo schema, è possibile sostituire alcuni numeri a determinate lettere: | ||
<pre> | <pre> | ||
i/l -> 1 | i/l -> 1 | ||
Riga 39: | Riga 40: | ||
o -> 0 | o -> 0 | ||
</pre> | </pre> | ||
Così è semplicissimo aumentare il numero di caratteri disponibili senza comprometterne la mnemonicità. | |||
Usiamo qualche cosa di facile da ricordare. ''Facile da ricordare'' non vuol dire, però, banale! | |||
'' | |||
'''Esempio:''' | '''Esempio:''' | ||
Pensiamo ad una frase di una canzone: | |||
''And I give up forever to touch you'' (Iris, GooGooDolls) | ''And I give up forever to touch you'' (<small>Iris, GooGooDolls</small>) | ||
La cosa che si nota a prima vista | La cosa che si nota a prima vista è la presenza di 8 parole (uhm...lunghezza minima di una password per quanto riguarda la nuova legge sulla privacy e sicurezza informatica) | ||
Bene, allora prendiamo l'iniziale di ogni parola: | Bene, allora prendiamo l'iniziale di ogni parola: | ||
Riga 58: | Riga 58: | ||
Ora effettuiamo la sostituzione: | Ora effettuiamo la sostituzione: | ||
'' | ''4Iguft7y'' | ||
Niente male! | Niente male! | ||
''' | '''NB''': la "I" l'ho lasciata espressa in lettera maiuscola, così per aumentare un po' la fatica (modifica di un sistema oramai ben conosciuto), e soltanto una t a caso è diventata un 7. | ||
Prima di finire, mettiamo qualche carattere: | Prima di finire, mettiamo qualche carattere: | ||
''4Iguf- | ''4Iguf-t7y_'' | ||
Ora abbiamo ottenuto una password di ben 10 caratteri non derivante da un dizionario | Ora abbiamo ottenuto una password di ben 10 caratteri non derivante da un dizionario, quindi l'unico attacco possibile è quello brute force. | ||
Riga 74: | Riga 74: | ||
Vediamo, ora, come conservare correttamente una password. | Vediamo, ora, come conservare correttamente una password. | ||
Sì, perché anche se usiamo una password difficile da trovare ma la scriviamo su un pezzo di carta...avete capito! Quindi niente post-it con password scritte, niente bigliettini nel portafoglio e così dicendo... | |||
La password non deve essere scritta da nessuna parte (ecco | La password non deve essere scritta da nessuna parte (ecco perché abbiamo lavorato un po' sulla mnemonicità), altrimenti i nostri sforzi risultano vani! | ||
L'unico posto in cui potrebbe essere scritta (per quanto riguarda la legge sulla privacy e sicurezza informatica) | L'unico posto in cui potrebbe essere scritta (per quanto riguarda la legge sulla privacy e sicurezza informatica) è in un foglio di carta inserito in una busta sigillata da consegnare al responsabile (solo nei posti in cui è necessario rispettare la legge sulla privacy e sulla sicurezza informatica). | ||
==Appunto di Paranoia== | ==Appunto di Paranoia== | ||
Prima di terminare, ecco alcuni consigli per mantenere ancora | Prima di terminare, ecco alcuni consigli per mantenere ancora più sicura la password: | ||
* non usarla in pubblico (o meglio | * non usarla in pubblico (o meglio: non facciamola vedere a chi è vicino a noi); | ||
* se dobbiamo digitarla in luogo pubblico, confondiamo facendo finta di premere dei caratteri in | * se dobbiamo digitarla in luogo pubblico, confondiamo facendo finta di premere dei caratteri in più, magari digitando e cancellando, copriamo la tastiera con un foglio ed altri trucchetti simili; | ||
* | * cerchiamo di usare connessioni sicure: preferiamo ssh a telnet, server con supporto ssl, sftp al posto di ftp e così via; | ||
* | * non memorizziamola sul computer! altra cosa da evitare è quella di conservare la password in database vulnerabili (InternetExplorer, Firefox, Kwallet (anche se questo usa un sistema di crittazione basato su password), in quanto è facile che un attaccante acceda a questi in caso di intromissione in una macchina. | ||
==Conclusione== | ==Conclusione== | ||
Spero che questa piccola rassegna di suggerimenti su come gestire le password aiuti un po' di persone, e faccia riflettere sul social | Spero che questa piccola rassegna di suggerimenti su come gestire le password aiuti un po' di persone, e faccia riflettere sul social engineering. | ||
{{Autori | |||
|Autore=[[User:MaXeR|MaXeR]] | |||
}} | |||
[[Categoria:Debian e sicurezza]] |
contributi