World Password Day: no a 1234567, sì alla $1cUr3zZ@

Una vita senza password? Di fatto la società digitale non ci lascia altra scelta: le password restano tra le principali modalità di accesso per quanto concerne il mondo dell’informatica. Tuttavia esistono soluzioni per rendere sicuro l’uso di password senza le solite frustrazioni. Dobbiamo solo utilizzarle.

  #Cloud Security   #Cyber Defense Center   #Security Awareness   #Security Risk Assessment   #Security Strategy Architecture   #SIEM  
05.05.22
Marc Rudin
+41 58 510 18 07
marc.rudin@umb.ch

Se sono troppo lunghe e complicate, non ce le ricordiamo. Se sono troppo corte, non sono sicure. Se utilizziamo una password diversa per ogni servizio IT, l’elenco diventa talmente lungo che diventa necessario annotarsi tutte le password da qualche parte. Ma se non lo facciamo, è un grave errore legato alla sicurezza. Ma allora cosa è necessario fare?

 

Le password non sicure continuano a prevalere

Oggigiorno l’utilizzo imprudente delle password è ampiamente diffuso. Secondo alcune ricerche, nelle aziende il 60 percento delle password non rispetta i requisiti minimi di sicurezza. Perciò non meraviglia il fatto che più dell’80 percento delle violazioni informatiche sono state possibili grazie all’uso di password non sufficientemente sicure[i]. Ogni anno vengono pubblicati elenchi delle password maggiormente utilizzate, e anche quest’anno sono quasi le stesse di quelle usate negli anni precedenti[ii]:

 

  1. 123456
  2. 123456789
  3. qwerty
  4. password
  5. 12345
  6. qwerty123
  7. 1q2w3e
  8. 12345678
  9. 111111
  10. 1234567890

 

Sappiamo oggi che 10.000 delle password più frequentemente utilizzate aprirebbero oltre il 90 percento di tutti gli account presenti in Internet – proprio perché la maggior parte degli utenti continua a utilizzare la stessa password, spesso per anni. Naturalmente anche i criminali informatici ne sono consapevoli, e questo è il motivo per cui ora è stata istituita persino una «giornata della password» internazionale[iii] che quest’anno ricorre in data 5 maggio.

 

Dipende tutto dal numero dei caratteri

Negli ultimi anni chi hackera le password ha fatto enormi progressi – tra l’altro grazie ad un continuo avanzamento della potenza di calcolo e ad un cloud sempre più conveniente. Secondo un’indagine di Hive-System risulta che oggi ogni password di otto caratteri può essere violata in meno di un’ora[iv]. Ma poi è ancora più spaventoso venire ad apprendere che le password contenenti meno di sette caratteri possono essere violate quasi all’istante. Nel 2020 ci volevano ancora otto ore di tempo per violare una password complessa di otto caratteri. Ma ecco qui la buona notizia: per violare con pura potenza di calcolo una password di 12 caratteri creata con un password-manager affidabile, sarebbero necessari fino a 3.000 anni di tempo.

È meglio essere prudenti, e in quanto a prudenza un password-manager è una garanzia
Le password dovrebbero dunque avere una lunghezza di almeno 12 caratteri. Sono più sicure se contengono lettere maiuscole, cifre e simboli speciali e nessuna informazione personale (nome, cognome, data di nascita). Non utilizzate mai una password più volte (si veda sopra).

Sono proprio queste regole a rendere complicata la gestione della password. È per questo motivo che si consiglia di utilizzare un password-manager. Tale dispositivo memorizza le vostre password e aiuta a crearne nuove e sicure. In questo modo dovete annotarvi solo la password del password-manager. Molti password-manager affidabili offrono i propri servizi persino gratis[v].

In ogni caso, se possibile, configurate sempre un’autenticazione a due fattori. I criminali che hanno rubato la vostra password non possono accedere al vostro account senza essere in possesso del secondo fattore, come ad esempio un hard token o un software token oppure un messaggio di testo SMS[vi].

 

Sicurezza informatica per un mondo digitale

Noi di UMB consideriamo la sicurezza informatica come disciplina integrale all’interno dell’intero ambiente IT e comprendiamo le sfide di un mondo in rapida evoluzione. Alla UMB la sicurezza informatica non è concepita come ambito a sé stante, ma considerata come parte dei concetti IT, workplace e digitalizzazione a cui appartengono anche i controlli di accesso e le password. Solo delle misure organizzative e tecniche equilibrate possono proteggere la vostra azienda in modo efficace. A questo scopo devono essere introdotti nuovi concetti di sicurezza che integrino la prevenzione classica (protezione di rete e perimetrale). Con ciò si intende da una parte la capacità di individuare precocemente un aggressore e dall’altra quella di avviare rapidamente le giuste contromisure. Non esitate a contattarci se la tematica vi interessa.

 

[i] 81% Of Company Data Breaches Due To Poor Passwords

[ii] Here's 2022's worst passwords — don't use any of these

[iii] World Password Day (May 5th, 2022)

[iv] https://www.hivesystems.io/password-table

[v] Password-manager Test 2022: questi sono i migliori servizi

[vi] SecurID Identity and Access Management

Come fanno gli hacker a violare le password

«Le password che usate nei siti web, vengono memorizzate nei server come hash e non in formato testo come "password", in modo tale che teoricamente chi le vede non conosca la password reale. Invece non funziona al contrario. Un hash come 5f4dcc3b5aa765d61d8327deb882cf99 non può essere calcolato al contrario per ricercare il termine "parola di riconoscimento" con cui è stato prodotto. Questo approccio unilaterale per le funzioni di hashing è stato strutturato così. Dunque come fanno gli hacker che rubano gli hash dei siti web a ottenere l’elenco delle password reali? Aggirano il problema violando le password stesse. In questo contesto ”violare” significa produrre nella loro tastiera un elenco di tutte le combinazioni di caratteri che poi violano. Gli hacker possono scoprire la vostra vera password – e in questo modo effettuare l’accesso ai vostri siti web preferiti, trovando corrispondenze tra questo elenco e gli hash delle password rubate. Dunque se utilizzate la stessa password per più siti web state facendo un bel regalino ai criminali.» Fonte Hive Systems