Le password rappresentano, ancora oggi, uno dei metodi di autenticazione più utilizzati e, purtroppo, meno sicuri per accedere a sistemi informatici di varia natura.
Alcuni di questi sistemi (postazioni di lavoro, fisse e mobili, server aziendali, posta elettronica) ci permettono di gestire, direttamente o tramite soggetti incaricati, i dati personali altrui (clienti, fornitori, ecc...); altri, invece, rendono possibile un accesso ai nostri dati (social network), alle nostre risorse finanziarie (e-banking) oppure ai contenuti che creiamo e diffondiamo sulla rete (blog, sito web, ecc...).
Fatto sta che in tutti questi casi la riservatezza e l'integrità delle nostre e delle altrui informazioni viene a dipendere molto dal livello di sicurezza della componente di autenticazione della classica coppia userid/password.
Per rendere le password meno sensibili agli attacchi di guessing e brute-forcing e ridurre il rischio o mitigare gli effetti di una loro eventuale compromissione si possono adottare alcune contromisure:
Alcuni di questi sistemi (postazioni di lavoro, fisse e mobili, server aziendali, posta elettronica) ci permettono di gestire, direttamente o tramite soggetti incaricati, i dati personali altrui (clienti, fornitori, ecc...); altri, invece, rendono possibile un accesso ai nostri dati (social network), alle nostre risorse finanziarie (e-banking) oppure ai contenuti che creiamo e diffondiamo sulla rete (blog, sito web, ecc...).
Fatto sta che in tutti questi casi la riservatezza e l'integrità delle nostre e delle altrui informazioni viene a dipendere molto dal livello di sicurezza della componente di autenticazione della classica coppia userid/password.
Per rendere le password meno sensibili agli attacchi di guessing e brute-forcing e ridurre il rischio o mitigare gli effetti di una loro eventuale compromissione si possono adottare alcune contromisure:
- lunghezza adeguata (dovrebbe essere variabile in relazione alla sensibilità delle informazioni da proteggere ma una buona base di partenza potrebbe essere di 8 caratteri)
- differenziazione (una password diversa per ogni sistema, non la stessa per tutti i sistemi !)
- estraneità con qualsiasi parola esistente in un normale vocabolario o riconducibile al soggetto (dimenticate i nomi di coniugi, figli, date di nascita, targhe di automobili, ecc..)
- composizione alfanumerica (numeri e lettere con l'aggiunta di eventuali segni di interpunzione) con caratteri misti (maiuscole e minuscole)
- custodia adeguata
- modifica frequente
Molte persone che conosco o con le quali entro in contatto sono restie ad applicare questi accorgimenti.
In particolare i parametri di lunghezza, differenziazione e composizione rendono la generazione e la conservazione delle credenziali un vero e proprio incubo, con tutte le conseguenze negative del caso (password identiche, facili da indovinare, per di più scritte su fogli di carta, post-it, fogli excel, ecc...).
Non bisogna neanche dimenticare le responsabilità legali: chiunque tratta dati personali è infatti obbligato a rispettare le prescrizioni minime (e non solo !) dettate per la sicurezza dei dati dal d.lgs. 196/03, tra le quali rientrano appunto determinati requisiti di lunghezza, composizione e conservazione delle password di autenticazione.
Sulla rete sono disponibili diversi software utilizzabili per assicurare la conformità con questi requisiti/misure: uno di questi è Keepass gratuito e rilasciato con licenza open source.
Keepass è un gestore che memorizza le password all'interno di un database, costituito da un file crittografato con una chiave scelta dall'utente (master key).
In particolare i parametri di lunghezza, differenziazione e composizione rendono la generazione e la conservazione delle credenziali un vero e proprio incubo, con tutte le conseguenze negative del caso (password identiche, facili da indovinare, per di più scritte su fogli di carta, post-it, fogli excel, ecc...).
Non bisogna neanche dimenticare le responsabilità legali: chiunque tratta dati personali è infatti obbligato a rispettare le prescrizioni minime (e non solo !) dettate per la sicurezza dei dati dal d.lgs. 196/03, tra le quali rientrano appunto determinati requisiti di lunghezza, composizione e conservazione delle password di autenticazione.
Sulla rete sono disponibili diversi software utilizzabili per assicurare la conformità con questi requisiti/misure: uno di questi è Keepass gratuito e rilasciato con licenza open source.
Keepass è un gestore che memorizza le password all'interno di un database, costituito da un file crittografato con una chiave scelta dall'utente (master key).
Lo schema di cifratura adottato è l'AES (lo standard utilizzato dal governo U.S.A) oppure Twofish.Il principale vantaggio è che l'utente deve ricordare una sola password, quella per accedere al database nel quale possono essere conservate tutte le altre credenziali, relative ai servizi/sistemi più disparati.
Alcune caratteristiche apprezzabili di Keepass sono:
- la leggerezza del programma in termini di risorse utilizzate
- la facilità d'uso (esiste anche una versione portabile per l'uso immediato con dispositivi removibili come le chiavette usb)
- la presenza di plugin di estensione delle funzionalità
- la presenza di un modulo per la generazione di password che rispettino i requisiti di complessità impostati dall'utente
- la possibilità di memorizzare le password per categorie (internet, email, e-banking, ecc...) e di fissarne una scadenza
- la notifica delle password scadute
- il controllo di altri aspetti come, ad esempio, la pulizia automatica della clipboard trascorsi un certo numero di secondi
Ovviamente in un sistema del genere il principale punto debole è costituito dalla master key che deve essere particolarmente robusta ed adeguatamente custodita per evitare l'accesso non autorizzato all'intero database della credenziali.
0 commenti:
Posta un commento