Password sicure e gestori di password

slackpass_daStasera un amico mi chiedeva se era sicuro memorizzare le proprie password in un database con uno dei gestori di password  che si possono trovare in rete (KeePass è un password manager famoso ma che non ho mai usato personalmente).

Il suo problema, ovviamente molto diffuso ad oggi, è che usando un gran numero di servizi web si ritrova con un portachiavi di password piuttosto vasto e sicuramente complesso da mantenere a memoria, per non parlare poi del fatto che una password andrebbe cambiata regolarmente.

Ovviamente la mia risposta al: “è sicuro un gestore delle password?”, è stata del tutto negativa. In fin dei conti con un gestore delle password non facciamo altro che racchiudere tutto il portachiavi in un involucro cifrato protetto da una singola password. In un caso estremo, con un singolo brute force si compromettono tutti i servizi usati dall’utente.

Conservare il gestore sul proprio computer, inoltre, non garantisce che il database non venga rubato fisicamente o via software.  Io stesso programmai qualche anno fa un gestore di password ma più che altro il mio scopo era prevenire eventuali keylogger quando mi connettevo da un computer degli internet café (unico access point che avevo a disposizione). VAI A JKEYRING

Tuttavia se l’unica soluzione rimasta a nostra disposizione è quella di scrivere le password a penna da qualche parte in chiaro allora è pur sempre meglio affidarsi ad un gestore che per lo meno crittografa le password con un algoritmo resistente. A questo punto sarebbe però saggio adottare una strategia simile a quella delle one time password: in pratica si compone la password di due parti, una comune a tutte le password ed una diversa per ogni account.

In pratica dove prima le password erano:
p4ssw0rd1
PASSword2
P455w0rD3
ora diventerebbero del tipo
PREFIXp4ssw0rd1
PREFIXPASSword2
PREFIXP455w0rD3

Il prefisso comune andrebbe tenuto a mente e dovrebbe essere una password già complessa di suo mentre i suffissi andrebbero memorizzati nel gestore di password. In questo modo, chiunque riuscisse a venire in possesso del nostro database di password dovrebbe:

1) Attaccare il cifrario del database per ottenere tutte le password in chiaro
2) Con le sole password del database non potrebbe far nulla poiché dovrebbe prima trovare il prefisso

Insomma per un attaccante sarebbe più conveniente eseguire altri tipi di attacco come quello discusso in questo interessante articolo.

Un altro layer di sicurezza aggiuntivo è rappresentato poi dall’autenticazione in due passi (2 step verification) che non è nient’altro che una implementazione della one time password dove ad ogni richiesta di login viene inviato un SMS sul proprio telefono mobile. Questo sistema garantisce ulteriore sicurezza poiché un malintenzionato dovrebbe attaccare prima la vostra password dell’account ed inoltre prendere possesso del fisicamente o virtualmente del vostro cellulare.
Ovviamente il rovescio della medaglia è che dovete fornire a Google e quanti altri utilizzano questo metodo di autenticazione, il vostro numero di cellulare (se avete un terminale Android forse è tardi per preoccuparsi di questo problema almeno con Google 😀 ).

Ultimo ma non ultimo, non mi stancherò mai di dire che una password deve essere lunga minimo 8 o 11 caratteri, deve contenere al suo interno lettere grandi, piccole, numeri e simboli! Inoltre non deve basarsi su alcuna parola sensata e neppure con lettere permutate.
Una password del tipo “computer” è folle, craccabile in pochi decimi di secondo ma anche “c0mpu73r” o “comretup” non vi fornirebbe una sicurezza di molto più elevata di fronte ad un brute force a vocabolario; wZs2R!#jikk1 probabilmente sarebbe una password più complessa da crackare.

Ancora una cosa!
Non mettete le vostre password  su siti web che controllano se sono robuste o che ne calcolano l’hash o altre cose del genere. Alcuni siti, di dubbia  provenienza, potrebbero memorizzare le vostre parole chiave in vocabolari da usare per attacchi ecc… come è anche opportuno non digitare le password da computer e terminali dei quali non conosciamo il livello di sicurezza (avete presente il vostro amico che non sa perché windows ci mette 3 minuti ad aprire una cartella? Proprio quell’amico che ha il browser pieno di banner e barre di ricerca strane? Ecco! Non loggatevi a paypal dal suo computer!!! Piuttosto portatevi un DVD live con una distro GNU/Linux).

Detto tutto questo non è che uno è sicuro al 100% ma a questo mondo di sicuro non c’è mai niente. 🙂

{Alla fine mi hai dato lo spunto per l’articolo, grazie Paolo! 😀 }

Advertisements

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...