Verificare la forza delle password con i crack

Mi capita spesso di vedere utenti che utilizzano password troppo facili per gli accessi ai computer o alle mail dell’organizzazione a cui appartengono.

Spesso la considerazione di fondo è «Tanto è solo la mail di lavoro, non c’è nulla di importante…» Da far venire i brividi.

È un fatto che gli utenti vadano opportunamente istruiti (bastano due paginette sulla Intranet, eh!) in merito al valore dei dati che stanno trattando e alle conseguenze in caso di crack della password.

In quanti tra gli utenti sanno che una password debole sulla mail non consente solamente di leggere i messaggi, ma anche di inviarne con il loro nome con due conseguenze principali: (1) furto di identità e (2) utilizzo dell’account per inviare spam, con conseguente blacklisting del mail server dell’organizzazione?

Alcune realtà italiane e internazionali prevedono sanzioni (fino alla lettera di richiamo formale) se gli utenti utilizzano per più volte password facili da indovinare. In un’organizzazione che parte da zero su questo fronte la lettera di richiamo sarebbe fuori luogo, ma bisognerebbe iniziare a rendere consapevoli gli utenti (a partire, spesso, dalla cima della catena alimentare) di quanto siano sicure le loro password.

Il sistema più semplice ed efficace croniste nell’utilizzo dei tool di crack delle password di cui ogni tanto diamo conto anche su queste pagine. SANS ha un articolo interessante in merito, che vale la pena di essere letto. Magari negli obbiettivi IT del prossimo anno si può introdurre qualcosa di simile…

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

2 pensieri riguardo “Verificare la forza delle password con i crack”

  1. Ok per le password non banali, ma non sono convinto che obbligare l’utente a cambi frequenti ed imporre regole troppo restrittive sulla complessità delle password sia sempre utile.
    Dalla mia esperienza questo fa sì che l’utente trovi altri metodi, ancora più rischiosi, per “ricordare” le password.
    Uno dei più grandi risultati di un corso sulla sicurezza che ho tenuto nella mia azienda lo scorso anno è stato quello di veder sparire i “postit” dai monitor, ma sono convinto che i maledetti foglietti gialli esistano ancora, anche se non così in vista.
    Tutte le password sono importanti, ma secondo me si può pensare ad un enforcing delle policy di sicurezza (e dei protocolli…) su quelle più vulnerabili per esempio la password di chi va in giro e legge la posta dall’esterno della rete aziendale.
    Comunque chi come me ha giocato con algoritmi e programmi di password cracking, sa che, a meno che la password non sia veramente banale e di lunghezza limitata (pippo per esempio) è piuttosto difficile ottenere dei risultati in tempi non biblici anche con sistemi pasati su GPU e rainbow tables come quello segnalato su questo sito la sorsa settimana.

    In ultimo un articolo interessante che ho letto un po’ di tempo fa sui falsi miti della sicurezza (tra cui password enforcing) http://isc.sans.edu/diary.html?storyid=5644

    1. Sono contrario alle policy restrittive per default, tipo quelle di Windows per capirci, proprio per i motivi che hai detto.
      Spesso una password tipo vivalapeppacolpomidoro e’ moltp piu’ strong di &egYHh1; sia perche’ uno se la ricorda, sia perche’ contiene degli errori che impediscono a chi guarda la tastiera di indovinarla, sia perche’ e’ piu’ lunga e i sistemi di crack a forza bruta ci mettono di piu’.

      Per i postit sui monitor… guarda sotto le tastiere! 🙂

Spazio per un commento