social media web & smart apps

Passwords in the Modern

Era

Francesco GeminFederico LonghinVladymir Tarquini

Cos’è una Password?

Una password è una stringa più o meno lunga di caratteri usata per verificare l’identitàdi un utente.

Utilizzate fin dai tempi antichi e conosciute da pochi furono lo strumento predilettoper restringere l’accesso a determinati luoghi da parte di coloro la cui presenza non eragradita.

Nell’era moderna sono solite essere accoppiate con un username univoco o unindirizzo di posta elettronica.

CrittografiaSicurezza Garantita

La tua Password è protetta?

La pratica e lo studio di tecniche per la messa in sicurezza di una comunicazione inpresenza di terze parti avversarie è detta crittografia.

Questa scienza basata su teoremi matematici era in passato usata per convertireun’informazione da pubblica a privata rendendola illeggibile ai più.

Viene oggi pesantemente basata su pratiche informatiche per cui gli algoritmidivengono altamente difficili da infrangere da parte di un avversario.

Algoritmi e Password?

Attraverso gli algoritmi di crittografia si garantisce la confidenzialità dei dati el’individualità dell’utente.

La maggior parte degli algoritmi in questione non è reversibile, bensì, per controllarela propria identità si utilizzano meccanismi di hashing attraverso i quali è possibileconfrontare due stringhe crittografate, se uguali, si è l’utente che si dice di essere.

Una Password è quindi sempre sicura?

Se gli algoritmi di crittografia ci garantiscono la sicurezza che la nostra password siaprotetta, qualsiasi combinazione di caratteri usata può considerarsi corretta.

Esistono però delle regole che la maggior parte dei provider impone ai propri utentidurante il processo di creazione di un account e la conseguente immissione dellapassword nel terminale di registrazione.

Perché? Beh… L’utente medio, la maggior parte delle volte per ignoranza, riponetroppa fiducia in questi algoritmi.

Password &

Regole

Regole comuni

Sempre più spesso, ogni qualvolta si desideri registrare un account viene richiesto diseguire delle regole molto restrittive quando si inizia a digitare la propria password.

Questa pratica porta, solitamente, alla frustrazione dell’utente stesso che cercherà diaggirare il blocco attraverso stratagemmi controproducenti alla sua sicurezza.

Unicode Horrors

Questa password di quattro caratteri: ✅🐎🔋

In un terminale unicode risulta: ********

Questa password di otto caratteri: 正确马电池订书钉

In un terminale unicode risulta: ********

Possiamo notare come una password relativamente semplice “✅🐎🔋 ” può essereconsiderata dal sistema come complessa e quindi accettabile. In un mondo diviso traunicode ed emoji, regole che controllano: uppercase, lowercase, presenza di numeri epresenza di simboli divengono inutili.

Lunghezza != Sicurezza

Questa tipologia di regole porta anche alla disinformazione digitale, l’utente medio,andrà a legare intrinsecamente il concetto di lunghezza con il concetto di sicurezza.

Come è possibile osservare dall’esempio, password lunghe non sono sempre sicure,bensì, possono diventare anche le più insicure possibili.

Password Horrors

Si può denotare l’inefficacia delle regole tuttora presenti nei terminali di registrazionedalla lista delle 25 password più utilizzate nel 2016.

Queste password potrebbero essere tutte rimosse sottoponendole ad un controllo dellalunghezza per un totale di caratteri superiore a 10, ma nulla impedirebbe all’utente dicopiare la medesima password due volte, facilmente superando questa regola.

Conclusioni

1. Le regole per le password sono troppo complesse e controproducenti.

2. E’ necessario creare una regola completamente unicode la cui lunghezza superiquella delle password più comuni.

3. E’ necessario controllare la presenza nella stringa delle password più comuni.

4. E’ necessario un controllo di entropia di base per evitare password come“aaaaaaaaaaaaaaaaaaa” o “0123456789012345689”.

5. E’ necessario controllare la presenza nella stringa di casistiche particolari, comeuna password uguale al proprio nome utente o all’indirizzo del sito.

Password

Vault

Applicativi in aiuto della memoria

Nonostante sia l’opzione consigliata, tenere a mente svariate password differenti ecomplesse per ogni portale a cui si è iscritti può diventare estremamente difficile.

In aiuto dell’utente sono stati creati vari applicativi per la memorizzazione delle chiaviattraverso algoritmi di crittografia, in modo da garantire la privacy all’interno deldevice prescelto.

La scelta di un applicativo rispetto ad un file TXT o simili è necessaria, in quanto, nelcaso in cui si vada a perdere il supporto fisico sul quale si è deciso di tenere tracciadelle proprie chiavi di sicurezza, se il ladro non conosce la Master Password non hamodo di accedere ai dati presenti al suo interno.

Dashlane

Disponibile per i sistemi operativi di maggioranza, Dashlane è un software Freemiumche permette il salvataggio di password.

Funzionalità Caratteristiche

Autocompilazione

Avvisi di sicurezza immediati

Refresh automatico delle password

Master password

Integrazione con Google Authenticator

Algoritmo di cifratura pubblico

1Password

Disponibile per i sistemi operativi di maggioranza, 1Password è un software Freemiumche permette il salvataggio di password.

Funzionalità Caratteristiche

Autocompilazione

Estensione per browser

Utilizzo di WebCrypto

Master password

Backup su Cloud

Algoritmo di cifratura pubblico

KeePass

Disponibile per i sistemi operativi di maggioranza, Keepass è un software Open Sourceche permette il salvataggio di password.

Funzionalità Caratteristiche

Database facilmente importabili ed esportabili in vari formati

Presenza di plugin aggiuntivi

Open Source

Molteplici master password

Generatore di password

Algoritmo di cifratura pubblico

Mantenersi Protetti

Verifica in Due

PassaggiUna Sicurezza Ulteriore

Cos’è?

La verifica in due passaggi è un metodo di autenticazione che si basa sull’utilizzocongiunto di due metodi di autenticazione individuale.

Alla fase di login viene richiesto il proprio nome utente, la propria password e unulteriore chiave, solitamente sotto forma di codice numerico, fornita da un dispositivofisico di varia natura in possesso dell’utente.

Perché esiste e a cosa serve?

SondaggioSurvey Results

Obiettivo del Sondaggio

L’obiettivo del sondaggio in questione era quello di capire quanto gli utenti al giornod’oggi fossero informati sulle buone pratiche per mantenere una password sicura equanto le mettessero in pratica.

Dai risultati, visibili online, è emerso che la maggior parte dell’utenza cambia leproprie password raramente o mai non facendo uso di un software per la loromemorizzazione.

E’ stato ulteriormente individuato che l’85% conosca informazioni a riguardo i criteridi complessità delle password e la maggior parte di loro è d’accordo che siano utili.

Fortuna o crittografia?

Nonostante la maggior parte dei risultati porti ad una visione disfattista della sicurezzadegli utenti che hanno risposto al sondaggio, solo il 25% ha subito un furto di accounte tutti sono riusciti a recuperare la propria password con successo in caso dismarrimento.

Questo porta a dedurre l’efficienza degli algoritmi di crittografia utilizzati nel mondomoderno e la semplicità con cui è possibile recuperare la propria password se smarrita.

La maggior parte degli utenti conosce l’esistenza della verifica in due passaggi, lautilizza, ma solo in casi specifici, probabilmente in siti in cui le informazioni immessesono più sensibili, come numeri di carte di credito.

Bibliografia

Coding Horrors - Password Rules are Bullshit

Keeper - What the Most Common Passwords of 2016 List Reveals

Google - Verifica in Due Passaggi

Cisco - Uso delle Password

Dashlane | 1Password | KeePass