Come rendere più sicure le password ?

strumento di gestione password
Le password rappresentano, ancora oggi, uno dei metodi di autenticazione più utilizzati e, purtroppo, meno sicuri per accedere a sistemi informatici di varia natura.

Alcuni di questi sistemi (postazioni di lavoro, fisse e mobili, server aziendali, posta elettronica) ci permettono di gestire, direttamente o tramite soggetti incaricati, i dati personali altrui (clienti, fornitori, ecc...); altri, invece, rendono possibile un accesso ai nostri dati (social network), alle nostre risorse finanziarie (e-banking) oppure ai contenuti che creiamo e diffondiamo sulla rete (blog, sito web, ecc...).

Fatto sta che in tutti questi casi la riservatezza e l'integrità delle nostre e delle altrui informazioni viene a dipendere molto dal livello di sicurezza della componente di autenticazione della classica coppia userid/password.

Per rendere le password meno sensibili agli attacchi di guessing e brute-forcing e ridurre il rischio o mitigare gli effetti di una loro eventuale compromissione si possono adottare alcune contromisure:
  1. lunghezza adeguata (dovrebbe essere variabile in relazione alla sensibilità delle informazioni da proteggere ma una buona base di partenza potrebbe essere di 8 caratteri)
  2. differenziazione (una password diversa per ogni sistema, non la stessa per tutti i sistemi !)
  3. estraneità con qualsiasi parola esistente in un normale vocabolario o riconducibile al soggetto (dimenticate i nomi di coniugi, figli, date di nascita, targhe di automobili, ecc..)
  4. composizione alfanumerica (numeri e lettere con l'aggiunta di eventuali segni di interpunzione) con caratteri misti (maiuscole e minuscole)
  5. custodia adeguata
  6. modifica frequente
Molte persone che conosco o con le quali entro in contatto sono restie ad applicare questi accorgimenti.
In particolare i parametri di lunghezza, differenziazione e composizione rendono la generazione e la conservazione delle credenziali un vero e proprio incubo, con tutte le conseguenze negative del caso (password identiche, facili da indovinare, per di più scritte su fogli di carta, post-it, fogli excel, ecc...).

Non bisogna neanche dimenticare le responsabilità legali: chiunque tratta dati personali è infatti obbligato a rispettare le prescrizioni minime (e non solo !) dettate per la sicurezza dei dati dal d.lgs. 196/03, tra le quali rientrano appunto determinati requisiti di lunghezza, composizione e conservazione delle password di autenticazione.

Sulla rete sono disponibili diversi software utilizzabili per assicurare la conformità con questi requisiti/misure: uno di questi è Keepass gratuito e rilasciato con licenza open source.

Keepass è un gestore che memorizza le password all'interno di un database, costituito da un file crittografato con una chiave scelta dall'utente (master key).

Lo schema di cifratura adottato è l'AES (lo standard utilizzato dal governo U.S.A) oppure Twofish.

Il principale vantaggio è che l'utente deve ricordare una sola password, quella per accedere al database nel quale possono essere conservate tutte le altre credenziali, relative ai servizi/sistemi più disparati.

Alcune caratteristiche apprezzabili di Keepass sono:
  1. la leggerezza del programma in termini di risorse utilizzate
  2. la facilità d'uso (esiste anche una versione portabile per l'uso immediato con dispositivi removibili come le chiavette usb)
  3. la presenza di plugin di estensione delle funzionalità
  4. la presenza di un modulo per la generazione di password che rispettino i requisiti di complessità impostati dall'utente
  5. la possibilità di memorizzare le password per categorie (internet, email, e-banking, ecc...) e di fissarne una scadenza
  6. la notifica delle password scadute
  7. il controllo di altri aspetti come, ad esempio, la pulizia automatica della clipboard trascorsi un certo numero di secondi
Ovviamente in un sistema del genere il principale punto debole è costituito dalla master key che deve essere particolarmente robusta ed adeguatamente custodita per evitare l'accesso non autorizzato all'intero database della credenziali.

0 commenti: