Se chiediamo a un reparto IT suggerimenti per la sicurezza delle password, in genere ci dirà di scegliere codici complessi, non usare le stesse password per servizi diversi e cambiarle regolarmente.
Se pensiamo che nel 2014 sono stati rubati oltre 1 miliardo di dati personali, molti dei quali contenenti password, è chiaro che questi aspetti non dovrebbero essere sottovalutati da nessuno.
Che la causa sia un’archiviazione in chiaro, l’uso di algoritmi di cifratura deboli o, più banalmente, la trascrizione delle password su fogli Excel, i furti di password sono ormai all’ordine del giorno. Paradossalmente, spesso a subire questi attacchi sono proprio le aziende tecnologiche. Si pensi al caso Hacking team, in cui l’uso di credenziali decisamente deboli ha causato uno dei furti più clamorosi degli ultimi anni (oltre 400Gb di dati trafugati).
Tuttavia, anche di fronte a sistemi di archiviazione sofisticati, la sicurezza delle password non è sempre garantita. il social network canadese Ashley Madison, ad esempio, proteggeva il proprio archivio con Bcrypt, uno dei sistemi più robusti. La falla tuttavia era nella debolezza dell’MD5, l’algoritmo di hash usato durante l’autenticazione.
Inoltre, come già riportato in un altro nostro articolo, attraverso attacchi a dizionario o bruteforce è possibile ricavare la password anche da un database con credenziali cifrate.
Sicurezza password, suggerimenti per le aziende
Per la sicurezza in ambito aziendale è bene iniziare stabilendo una policy di gestione delle password:
♦ definire delle linee guida per dire ai dipendenti come scegliere password robuste (anche attraverso dei test di sicurezza con strumenti di validazione);
♦ usare sistemi sicuri per l’archiviazione delle password come le funzioni di derivazione PBKDF2 (Password-Based Key Derivation Function) o Bcrypt;
♦ usare dei software per le gestione delle password, come un password manager, ed evitare di trascriverle su fogli Excel e post-it;
♦ assicurarsi che i dipendenti seguano le linee guida.
Ovviamente, adottare una policy per la gestione delle password aziendali non garantisce automaticamente la sicurezza. Tuttavia, rende sicuramente più difficile il lavoro ai malintenzionati.
Alcune regole per password sicure
Ci sono poi alcune regole per la sicurezza delle password che ormai dovrebbero essere di buon senso:
♦ non usare mai informazioni personali. Sono vietate, quindi, date di nascita, nomi di familiari o animali domestici;
♦ non usare le stesse credenziali su più servizi. In particolare, le credenziali per i servizi personali (come social network o posta elettronica) devono essere diverse da quelle degli account business (come gli account aziendali e relativi all’e-banking);
♦ non comunicare mai a nessuno la propria password, nemmeno al proprio ufficio IT. Se proprio non si può evitare di farlo, è bene modificare la password prima e dopo l’intervento dei colleghi. Inoltre, è sempre bene essere presenti mentre gli altri usano il nostro account.
Ci sono poi delle regole meno ovvie:
♦ dove consentito, usare password di 15 caratteri. Questo rende un po’ più sicuro l’account, qualora venissero usati algoritmi di hashing vulnerabili;
♦ non memorizzare le password nei browser. Non tutti, infatti, le archiviano in modo sicuro;
♦ mai usare i sistemi di login automatici nel proprio computer. Il sistema operativo potrebbe conservare le password attraverso metodi vulnerabili.
In conclusione, possiamo dire che il livello di sicurezza delle password dipende in parte da una corretta implementazione di sistemi robusti. Determinante, tuttavia, è anche il fattore umano, ovvero un approccio corretto nella scelta delle proprie credenziali e il rispetto delle linee guida.