Quantcast
L´IT al servizio della tua impresa

Le password del bravo amministratore IT

hub-28.1

I consigli da tenere sempre presenti per tenere lontani gli hacker dalla propria azienda

Non c’è nessuna password completamente sicura, ci sono però tantissime password da veri “autolesionisti”, quelle tipiche per cui la volta che il cybercrime davvero attacca voi vi pentirete in un millisecondo di averla creata così. Lo si sarà fatto magari per poterla condividere più facilmente con il collega, per non dimenticarla mai, per inserirla nel più breve tempo possibile quando si è di fretta, tutte scuse comunque che non serviranno. Eppure lavorare bene, con password sicure si può.

Tutti i vendor di sicurezza hanno fatto studi in proposito, tante software house hanno predisposto tool facili da usare e specifici per potere ogni volta utilizzare la giusta password senza doverle ricordare, ma alla fine pochi si adeguano. Addirittura sul sito Teamsid è possibile trovare un’infografica curiosa con illustrata la lista delle 25 peggiori.

La lista annuale di Splashdata relativa alle peggiori password scelte
La lista annuale di Splashdata relativa alle peggiori password scelte

In testa c’è sempre, da tanti anni, la fatidica “123456”, seguita da “password”, ma si è fatto di peggio e nella top ten sono entrate anche “12345” e “12345678”, probabilmente quest’ultima solo perché sarà stata richiesta una password di otto caratteri minimo. Vogliamo però notare con soddisfazione la 24 esima posizione ottenuta da “zaq1zaq1”, che sembra anche una password quasi intelligente, peccato che siano semplicemente i primi quattro tasti con caratteri nella fila più a sinistra sulle nostre tastiere. La fantasia non ha limiti e così si sono usati anche i caratteri della prima riga, anche per password più lunghe, oppure si sono messe in sequenza due file di tasti. Possiamo sorridere, ma nemmeno tanto, pensando che a usare “123456” sia appena il 4 percento delle persone, ma il 10 percento che usa le prime 25 peggiori password è già comunque davvero molto allarmante.

Il problema si fa serio poi se si pensa che il 59 percento delle persone utilizza una medesima password per diversi domini: fosse anche robusta, la sicurezza sarà comunque una chimera. E poi le password veramente robuste sono comunque deboli. Solo la crittografia a due fattori e l’autenticazione con fattori biometrici innalzano il livello di sicurezza, ma non sempre si possono utilizzare. On line è pieno di risorse open source utilizzate sia per testare la robustezza sia per crackare sistemi.

Bisogna poi sapere che praticamente la maggior parte di questi tools include dizionari nelle diverse lingue, così da ridurre al minimo il tempo di attesa per l’attaccante di turno, nel caso in cui abbiate scelto una parola compresa in essi, così come con l’aumentare della potenza di calcolo disponibile sono aumentate le possibilità di attacchi a forza bruta per cui i software semplicemente inanellano a una velocità notevole tutte le combinazioni di numeri, lettere, caratteri speciali fino a decrittare quella scelta. E poi non finisce qui.

I sistemi di attacco

Questi di seguito riportiamo i sistemi di attacco più diffusi, che mutuiamo da un interessante contributo pubblicato su lmgsecurity.com:

  1. I sistemi di reset spesso sono vulnerabili, perché il cognome di vostra madre da nubile, o la città dove è nata, o il nome del vostro migliore amico di infanzia non sono poi così difficili da recuperare per reimpostare la password a vostra insaputa.
  2. Verificate di non avere utilizzato la stessa password per diversi account e domini.
  3. Cambiate tutte le vostre password, soprattutto quelle critiche aziendali, con una certa frequenza, ma non necessariamente con eccessiva regolarità. Qualsiasi abitudine conosciuta vi rende vulnerabili.
  4. Esistono i keylogger Quello che digitate sarà monitorabile.
  5. Non solo esistono i keylogger ma esistono anche software di controllo remoto molto potenti per carpire ogni vostro segreto proprio come se fosse l’hacker e non voi a gestire il computer.
  6. Nell’era IoT non avete idea di quante siano le brecce possibili da sfruttare per entrare in azienda. Si parte proprio dalla connettività WiFi. Non c’è scheduling degli IP e dei MAC Address autorizzati che tengano. Abbiamo assistito di recente a una demo organizzata da CheckPoint e siamo davvero rimasti stupiti di cosa non sia possibile fare.
  7. Caro vecchio buon Phishing. Il Phishing porta sempre tanto frutto. Non c’è nulla di meglio, invece che forzare un sistema che farcisi condurre per mano direttamente dalla vittima, facendole aprire porte che non avrebbe mai aperto.
  8. Social Engineering… Se non direttamente rivelate, alle informazioni si può anche arrivare con un buon ragionamento, studiando il comportamento dell’avversario, con una sequenza di attività di osservazione che difficilmente si rivelerà proprio infruttuosa. Lo sappiamo che non ci credete ma un sacco di persone tiene appunti e informazioni importantissime su fogli e pezzi di carta che regolarmente finiscono nella spazzatura. E con la raccolta differenziata a volte è ancora più facile cercare proprio a colpo sicuro.

Allora come si scelgono le password? Un Poker di buoni consigli

  1. Assolutamente proibito utilizzare tutte le parole di uso comune, i nomi propri, le date di nascita con i nomi di persone, animali e cose, la lunghezza non è tutto, anzi è poco, ma è comunque già qualcosa se la password non è una parola comune.
  2. Un ottimo metodo è scegliere una frase facile da ricordare e attingere dalla stessa le iniziali di ogni parola che la compone, la relativa punteggiatura e i numeri se sono presenti, magari si può arricchire con un paio di caratteri speciali a caso, ma che per noi sono importanti. Per esempio: “La sventurata rispose che sarebbe stato bello se Manzoni le avesse assegnato un ruolo più bello di quello della monaca di Monza” può generare una password del tipo, LsrcssbsMlaaurpbdqdmdM” che non è già male anche se mancano vocali e numeri per esempio.
  3. Non si sceglie mai una password facendo riferimento a dati non solo personali ma nemmeno di parenti o amici.
  4. I software disponibili oggi per tenere traccia delle password offrono nella maggior parte dei casi anche la possibilità di generare password più o meno complesse, ma anche a vostra misura. Citiamo 1Password, Keeper, DashLane, LastPass, perché sono anche quelli più diffusi e disponibili per diverse piattaforme. Di recente anche TruKey di McAfee si è rivelato abbastanza valido.