Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Le password lunghe e complesse sono ormai sorpassate?
- MERCOLEDÌ 13 SETTEMBRE 2017


A breve, probabilmente, la sicurezza informatica passerà attraverso meccanismi molto particolari e difficilmente violabili: stiamo parlando di tutti i sistemi di identificazione biometrica come l'uso delle impronte digitali, la scansione dell'iride oppure i sistemi di riconoscimento vocale.

Fino ad allora però username e password restano il sistema di sicurezza più diffuso e sicuro. Chiaramente la sicurezza di username e password si lega a particolari requisiti ed, in conseguenza, accorgimenti che bisogna prendere nel momento in cui si confezionano parole o sequenze di caratteri alle quali affidare la nostra privacy o la sicurezza dei nostri risparmi.

Fino ad oggi...
siamo stati convinti che la sicurezza di una password fosse legata essenzialmente alla lunghezza e alla complessità della stessa. Eppure in pochissimi giorni un gruppo di ricercatori ha violato circa 320 milioni di password protette da hash. Molti siti di informazione del settore stanno quindi facendo circolare "nuove linee guida" rispetto alla sicurezza di username o password. 

I vecchi problemi
  • 1. Password lunghe e complesse
    Le password lunghe e complesse in realtà non garantiscono la sicurezza: il problema è che sono difficili da ricordare. Per ricordarle la maggior parte delle persone le appunta da qualche parte (magari un post-it sul pc oppure ancora finisce per salvare in memoria del browser): un ottimo sistema per vanificare ogni velleità di sicurezza delle password. 
  • 2. I cyber-criminali si sono evoluti
    La maggior parte dei software e delle tecniche usate da cyber-criminali si sono notevolmente evoluti. Il loro problema principale infatti non è mai stato quello di non riuscire a individuare le password, ma solo quanto tempo viene impiegato per individuarle. Più una password è lunga più tempo (e si parla anche di mesi) impiega un attaccante ad individuarla. Solo che le tecniche attuali hanno fortemente abbreviato le tempistiche, garantendo la capacità di individuare in tempi accettabili anche password molto complesse. 
  • 3. Cambiare spesso la password?
    Anche questo, forse, non è una buona idea. Il rischio è sempre lo stesso: dimenticarsi la password. Così dopo due o tre recuperi di emergenza di password dimenticate, si finisce per scegliere una password non troppo diversa dalla precedente per non ridurre il rischio di dimenticarla.
  • 4. Imporre lunghezze massime e minime
    Il numero massimo di caratteri di una password è un criterio talvolta usato, ma assolutamente controproducente. Ma anche imporre un numero minimo ha effetti indesiderati: la maggior parte delle persone sceglie password di 8 caratteri, cosa che rende molto facile la vita ai pirati informatici. Ad esempio la data di nascita infatti è composta, in forma estesa, da 8 caratteri numerici e spesso viene scelta perché è più facile da ricordare. Ecco, è bene sapere che i calcoli  necessari per individuare una password della quale si presuppone a priori la lunghezza sono infatti molto più agevoli di quelli volta a trovare una password di lunghezza sconosciuta.  
Le nuove linee guida
Come abbiamo indicato anche sopra, una delle indicazioni più frequenti consigliava di cambiare password frequentemente. Le nuove linee guida consigliano, al contrario, di cambiare password solo quando si hanno indizi che la nostra sicurezza sia stata violata. Il che comporta un cambiamento piuttosto significativo nelle policy di sicurezza, rendendo necessarie forme di monitoraggio di ciò che accade sul web. Una di queste forme di monitoraggio già l'abbiamo presentata in alcuni articoli: è il sito Have I Been Pwned, dove vengono registrati tutti i data breach avvenuti e dove quindi è possibile sapere se la nostra mail o altro account sono stato violati. 

Oltre a ciò ci sono svariate altre tecniche: partiamo dal presupposto che la sicurezza delle password dipende anche da chi gestisce i server presso i quali ci dobbiamo autenticare per accedere ai nostri profili. 
  • Il miglior sistema di protezione che può offrire un server è l'hashing, una procedura di criptazione a senso unico, ovvero che rende impossibile individuare una chiave che permetta di decriptare tutte le password. 
  • Il salting invece è una tecnica che complica moltissimo i calcoli necessari a ricavare una password dagli hash perché allunga le stringhe
  • Infine il sistema di autenticazione a due fattori sta diventando una tecnica di sicurezza abbastanza diffusa: obbliga gli utenti ad usare, oltre alle credenziali standard (username e password) un altro codice di verifica, solitamente un codice univoco generato da smartphone. Resta però un problema: se il codice univoco viene inviato via SMS è intercettabile. 
Una sola regola, delle classiche, resta invece valida anche ora che si stanno rivalutando le Best Practices in fatto di password: non usare mai la stessa password per più servizi. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 20 NOVEMBRE 2017
9 cose da imparare dal Report sulle minacce del 3° trimestre del 2017
Il Report Trimestrale delle Minacce rende una dettagliata analisi delle minacce alla cyber-sicurezza che hanno svolto maggiormente un ruolo da protagoniste in un dato per...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2017 nwk - Privacy Policy - Login