Se non password, allora #PassaFrase

PassaFraseIconSu questo blog si è discusso a profusione di password, del loro utilizzo e della sicurezza. In questo post, vi presento un progetto opensource che ho recentemente lanciato con lo scopo di aiutare gli utenti finali nella scelta della password.
Prima di partire con le premesse, premetto 🙂 che non sono un esperto di sicurezza, ma mi interesso al campo così come ogni buon professionista nel campo IT dovrebbe fare e sto usando questo progetto non solo per offrire un servizio all’utente, ma anche per imparare qualcosa, possibilmente per trasmettere le lessons learned e per approfondire il dibattito sulla sicurezza, a tutti i livelli.

La necessità di password lunghe e complesse, come sapete già bene, è parecchio antica in termini informatici: fino a qualche anno fa andavano di moda password formate da sequenze casuale di lettere maiuscole e minuscole, numeri e qualche volta segni di interpunzione o similari. Queste password erano difficili da memorizzare tanto che alcuni le appuntavano: nella migliore delle ipotesi sulla agendina personale o nel portafoglio, nella peggiore in un post-it incollato sotto la tastiera. La loro presunta robustezza, tuttavia, ci convinceva che il gioco valesse la candela. Leggi tutto “Se non password, allora #PassaFrase”

Poi non diamo la colpa agli utenti

Ogni giorno scriviamo megabyte di articoli e spendiamo ore per spiegare agli utenti l’importanza di una password sicura.

Anzi, spieghiamo che bisogna passare dal concetto di password (parola d’ordine) a quello di passphrase (frase d’ordine), ovvero mettere una frase relativamente lunga, che, in questo momento, è facile da ricordare e difficile da attaccare con metodi di forza bruta o con rainbow table.

Poi sbatti il naso contro questo: Leggi tutto “Poi non diamo la colpa agli utenti”

Password

INSERIRE LA PASSWORD
********
PASSWORD ERRATA. INSERIRE LA PASSWORD
***********
PASSWORD ERRATA. INSERIRE LA PASSWORD
*************
PASSWORD ERRATA. INSERIRE LA PASSWORD
****************
PASSWORD ERRATA. INSERIRE LA PASSWORD
{esegue la procedura di reset password}
**************
ERRORE! LA NUOVA PASSWORD DEVE ESSERE DIVERSA DALLA PRECEDENTE

ATM: ma scherziamo?!

ATM passwordIl sito dell’ATM (la finanziaria che controlla le società che gestiscono i trasporti pubblici) di Milano è stato, a memoria, sempre abbastanza innovativo rispetto ai siti omologhi.

Uno dei servizi offerti è la possibilità di registrarsi per ricevere informazioni e per acquistare biglietti anche attraverso l’applicazione mobile.

Ma la procedura di registrazione è una cosa che non vorremmo mai vedere nel 2015. Leggi tutto “ATM: ma scherziamo?!”

Giocare la password ai dadi

Assume that your adversary is capable of a trillion guesses per second.
Edward Snowden a Laura Poitras, maggio 2013

Cinque dadiCome difendersi da qualcuno con questa potenza di fuoco, che nel frattempo è sicuramente aumentata?

Un modo efficace è rispolverare cinque cari vecchi dadi da gioco. Leggi tutto “Giocare la password ai dadi”

Queste password proprio no!

Ci sono alcune password che non vanno utilizzate.

Ma nemmeno per cinque minuti.

E, no, nemmeno come password temporanee.

Sono le password che vengono provate per prime quando si attacca un sistema, sono quelle che fanno crollare tutta l’impalcatura di sicurezza di un sistema.  Leggi tutto “Queste password proprio no!”

Heartbleed: anche le password

by heartbleed.comAncora su OpenSSL / Hearthbleed, i maggiori siti dovrebbero aver già predisposto gli aggiornamenti necessari a superare il problema. Adesso è il turno dei singoli utenti.

Una delle conseguenze di Hearthbleed è la possibilità che il traffico https sia stato intercettato e decriptato. Con esso pure le password per accedere ai singoli servizi. Le conseguenze sono ovvie.

Il consiglio a tutti gli utenti è quello di cambiare al più presto TUTTE le password di Home Banking, Facebook, Google, LinkedIn, PayPal, Amazon e di tutti i vari servizi in giro sul web a cui siete iscritti (specie quelli in cui c’è movimento di denaro o dati di carte di credito) perché potrebbero essere state compromesse. E’ difficile ma dobbiamo presumere per sicurezza che sia stato fatto.

Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI! Se craccano il servizio esterno mettete in pericolo pure l’infrastruttura dove lavorate. Se l’avete fatto in passato occorre cambiare anche quella password (supponendo che le regole interne non vi obblighino già a farlo regolarmente).

Mai, mai, mai, mai utilizzare la stessa password su più siti diversi. MAI! Se viene compromesso un sito possono (anzi lo fanno di sicuro) provare a vedere se lo stesso account è presente su altri servizi.

Ad esempio se vi catturano la password di Facebook che mettiamo sia uguale a (esempio assurdo) quella del vostro Home Banking pensate che di essere al sicuro?

Avere password differenti è importante, pensate al vostro portachiavi. Avete un unica chiave oppure una chiave per ogni porta che dovete aprire?

Per quanto riguarda la complessità della password… lasciamo stare la teoria che vorrebbe password lunghe chilometri con ghirigori, maiuscole, minuscole, numeri, simboli, giravolte, sbirigudi ed antani. Proteggiamo pesantemente  (magari con l’autenticazione multipla e con SMS di avviso) l’account che per voi è fondamentale. Quello su cui magari vi arrivano le notifiche dagli altri account e tramite il quale possono accedere agli altri servizi. Per gli altri servizi si può utilizzare una password più semplice da ricordare (ATTENZIONE: semplice non significa banale o completamente idiota) e magari dove disponibile attivare sempre l’autenticazione multipla.

Per fare un esempio recentemente è saltata fuori la storia di un giornalista a cui hanno rubato tutti gli account semplicemente perché sono riusciti ad introdursi nella sua posta elettronica. Una volta preso il controllo delle mail gli hanno cambiato le password di tutto, rubato gli account Twitter, Facebook, Google+ e i domini Internet dei propri siti web. Fate voi.

E se pensate “a me non succederà mai perché chi vuoi che mi attacca a me” siete le vittime perfette. Pensate che la maggior parte di questi attacchi non sono mirati ma fatti con script automatici. A loro non interessa chi siete ma solo i vostri account.

L’ho già detto “Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI!” ? Ve lo ridico giusto per essere sicuri.

Fine del pippone.

Le password nel commercio elettronico

Dashlane ha pubblicato un rapporto sulle password nel commercio elettronico [PDF].

Il documento analizza le regole imposte dai primi cento siti americani di e-commerce, molti dei quali operano anche a livello globale. Dashlane ha individuato 24 caratteristiche delle password e ha assegnato a ciascuna un punteggio negativo o positivo; se una caratteristica è applicabile alle password di un sito, il punteggio relativo viene assegnato ad esso. Il punteggio può variare da -100 a +100.

Prima di esaminare la classifica alcuni dati aggregati degni di nota:

  • il 55% dei siti accetta password del tipo 123456 o password;
  • il 51% non blocca l’account dopo dieci tentativi di collegamento errati, tra questi siti ci sono anche Amazon, Dell, Best Buy e Macy’s;
  • il 64% ha delle regole molto discutibili in merito alle password, la qual cosa ha portato ad un punteggio negativo;
  • il 61% non fornisce alcuna indicazione su come creare una password sicura durante la creazione di un account;
  • il 93% non fornisce in tempo reale una valutazione della forza della password durante la digitazione della medesima
  • 8 siti inviano la password via mail in chiaro.

Per gli amanti delle top 10 ecco la classifica dei siti migliori. Leggi tutto “Le password nel commercio elettronico”

Password “comuniste”

Nicola Porro ha sfogato la sua frustrazione nel suo blog in merito alla complessità delle password imposte.

Non essendo un giornalista tecnico che scrive abitualmente in temi di sicurezza, possiamo, con presunzione di innocenza, classificare quell’articolo come uno sfogo a livello di chiacchiera da bar.

Purtroppo questo episodio è esemplificativo dell’ignoranza (etimologica) in materia di sicurezza informatica e di valore dei dati che accomuna molte professioni.

Il concetto più comune che viene urlato è “l’account è mio e la password la decido io”. Leggi tutto “Password “comuniste””

Dodecalogo per le PMI

Allen Scott di F-Secure ha pubblicato un elenco di dodici punti per migliorare la sicurezza delle PMI.

Alcune regole sono state illustrate anche in altri articoli di questo blog; l’elenco che segue le raccoglie in maniera organica a beneficio di chi vuole realizzare una checklist. Leggi tutto “Dodecalogo per le PMI”

Specificare una password

cavolo

La password deve essere almeno di 8 caratteri.

cavolo bollito

La password deve contenere almeno un carattere numerico.

1 cavolo bollito

La password non può contenere spazi.

50cazzodicavolivolliti

La password deve contenere almeno un carattere alfabetico maiuscolo.

50DANNATIcazzodibolliti

La password non può contenere più di un carattere maiuscolo consecutivo.

50CazzoDiCavoliBollitiInfilatiSuPerIlTuoCulo,SeNonMiFaiAccedereSubito

La password non può contenere segni di interpunzione.

AdessoMiStoIncazzando50CazzoDiCavoliBolliti
InfilatiSuPerIlTuoCuloSeNonMiFaiAccedereSubito

La password è già stata utilizzata.

Generatore di password via command line

Ogni tanto serve generare un po’ di password casuali, questo è un metodo rapido e, si spera, efficace.

Tutto quello che serve è un *NIX e un /dev/urandom con una ragionevole entropia, magari aiutato da un software come haveged.

Questa è l’invocazione per richiamare 1024 byte di password casuali (deve essere scritta su una riga sola, vado a capo per praticità):

strings /dev/urandom |
tr -c -d '\!-~' |
dd bs=1 count=1k 2>/dev/null |
sed -r 's/(.{12})/\1\n/g' ;
echo

Quello che fa questa command line è prendere da /dev/urandom solamente i gruppi di byte che corrispondono a caratteri stampabili (prima riga), filtrarli secondo un range ASCII (seconda riga), fermarsi a 1024 caratteri (terza riga), visualizzarli su righe di 12 caratteri l’una (quarta riga) e andare a capo dopo l’ultima password (ultima riga).

Il range sulla seconda riga è uno dei più ampi possibile nel set ASCII stampabile perché lascia fuori solamente lo spazio e può essere modificato a piacere, ad esempio se si vogliono solamente lettere minuscole e numeri la seconda riga diventa

tr -c -d 'a-z0-9' |

Sulla quarta riga si può variare il numero 12 per avere password di lunghezze differenti o sostituire \n con \t per avere le password incolonnate separate da tab.

Le diecimila password peggiori

Rethymno - Porta / DoorMark Burnett ha raccolto nel tempo varie password che sono state pubblicate per buchi nella sicurezza.

Adesso ha deciso di pubblicare le 10.000 password più utilizzate, quindi le 10.000 password da non utilizzare mai.

Le password sono in un file di testo, che può essere importato in un archivio di black-list per evitare che gli utenti scelgano password troppo facili da indovinare.

L’archivio contiene password in minuscolo, ma le varianti maiuscole, CamelCase o 1337 sono oramai considerate analoghe.

L’analisi della distribuzione fatta da Mark è ancora più desolante: il 14% delle password è nelle prime 10. il 40% nelle prime 100, il 79% nelle prime 500 e il 91% nelle prime mille. Questi nono sono solamente dati di una banale analisi di frequenza statistica, ma significa che provando 100 password (e relative varianti) si scardinano il 40% degli account, quasi uno su due.

Da qui la solita annosa domanda: qual è la password ideale, a parte quelle generate casualmente?

Leggi tutto “Le diecimila password peggiori”

Userei una password complessa, ma…

CartaSISono anni che si sprecano litri di inchiostro e gigabyte di storage per spiegare l’importanza di una password non banale. Alla fine i suggerimenti sono sempre gli stessi, ma non sempre è possibile metterli in pratica.

Una password come ad esempio siamogeek.com potrebbe essere rifiutata da molti siti che impongono che le password siano formate solamente da lettere o cifre. Il sito dei Servizi Interbancari è uno di questi, qui sopra si vede l’errore che mi è apparso questa mattina; non dirò quale carattere speciale avevo messo nella password, ma posso assicurare che quel carattere speciale è noto ai bambini che frequentano i primi anni delle scuole elementari. Ci sono moltissimi siti che presentano un comportamento analogo.

La maggior parte dei siti utilizza (o dovrebbe utilizzare) una codifica che permette di avere nella stessa frase  caratteri di qualsiasi alfabeto della Terra (e non), passato e presente. Nonostante ciò, c’è ancora chi obbliga a scrivere le password con un insieme di caratteri così limitato che avrebbe fatto ridere anche i programmatori di 30 anni fa.

Forse qualcuno teme che un utente metta come password ;DROP DATABASE;--

O probabilmente tutti i layer Java[Script] che si frappongono tra l’utente e il database sottostante sono scritti o integrati così male che solo un apice nella password farebbe crollare tutto. Però il sito ha una bella grafica, eh! Sarà contento il Baiocchi [NSFW]

Leggi tutto “Userei una password complessa, ma…”

Poi non date la colpa al malware

Museo di Iraklio / Heraklion museumSpesso c’è la tendenza ad incolpare il malware per ogni tipo di danno causato ai sistemi informativi o per ogni tipo di furto di informazioni.

Se non si può parlare di colpa di chi scrive il software, certo il programmatore è in molti casi correo colposo (quando non è doloso, ma è un altro paio di maniche) di intrusioni illecite o furti di informazioni.

Negli ultimi anni le cose stanno lentamente cambiando, ma fino a poco tempo fa chi scriveva software era assolutamente inconsapevole dei rischi della sicurezza perché o non se ne curava affatto o pensava che fosse un Problema Altrui.

Scrivere un software che tenga presente i problemi della sicurezza non è semplice, ma sta diventando rapidamente una necessità imperativa se non si vuole fare brutte figure, o peggio.

Leggi tutto “Poi non date la colpa al malware”

Si trova proprio di tutto

Museo di Iraklio / Heraklion museumAbbiamo trattato varie volte il problema dei motori di ricerca che indicizzano più di quello che ci si aspetta.

Con la formula corretta si possono trovare varie cose: chiavi private, log di trasferimenti FTP, chiavi o configurazioni dei VPN, telecamere

Aggiungiamo questa messe di informazioni un esempio di come sia possibile cercare dei fogli di Excel il cui none finisce con la parola email:

filetype:xls inurl:"email.xls"

Il risultato è interessante e potrebbe essere una delle tante possibili risposte alla domanda “Ma da dove diavolo hanno preso la mia mail?!”

Mutatis mutandis, si potrebbero cercare documenti che contengono altre parole nel nome.

Chi ha detto “password”?

inurl:elmah.axd "powered by elmah" password

1234, 1111, 0000 … 9629, 8093, 8068

Il brutto anatroccolo / The Ugly DucklingNon ci vuole un genio del calcolo combinatorio per capire che 10 simboli combinati a blocchi di 4 danno 10.000 combinazioni diverse.

Data Genetics in un articolo del suo blog ha condotto un’analisi si 3,4 milioni di password a 4 cifre: alcuni risultati sono ovvi, altri interessanti.

Per estensione si potrebbe presumere di applicare questa analisi ai PIN a 4 cifre, come quello del cellulare o della carta di credito chip and pin, due contesti in cui il PIN a 4 cifre è assegnato stocasticamente, ma può essere modificato dall’utente.

Ovviamente le combinazioni più frequenti sono 1234, tutte le cifre uguali e numeri evocatori come 6969.

Leggi tutto “1234, 1111, 0000 … 9629, 8093, 8068”

Autenticazione a due fattori per Dropbox

Dopo i recenti episodi di hackeraggio che hanno coinvolto Dropbox, il sito ha aggiunto la possibilità di attivare l’autenticazione a due fattori.

Il primo fattore resta la password e il secondo può essere o un messaggio che si riceve via SMS oppure un’applicazione supportata (Google AuthenticatorAmazon AWS MFAAuthenticator for Windows Phone 7).

L’autenticazione a due fattori è un notevole passo avanti nella sicurezza, in quanto chi volesse accedere in maniera fraudolenta al vostro account di Dropbox dovrebbe conoscere la password e avere in mano il vostro cellulare.

Vediamo come attivare l’autenticazione a due fattori.

Leggi tutto “Autenticazione a due fattori per Dropbox”