gestione password

La gestione delle passwordLa gestione delle password

Foggia, 5 marzo 2013Foggia, 5 marzo 2013Danilo De RogatisDanilo De Rogatis

2

# whoami Laurea in Informatica e Master in Sicurezza Informatica ed Investigazioni Digitali

Responsabile Area Sistemi Informativi ed Innovazione Tecnologica dell’Università di Foggia

OSSTMM Professional Security Tester Certified

Docente in corsi mirati alla sicurezza informatica

Ho fatto parte del Team di Sicurezza del G8 Summit 2009 che si è svolto in Abruzzo nel 2009

Security Evangelist & Infosec maniac :-)

Autore di articoli sulla Sicurezza Informatica per HTML.IT:http://www.html.it/autore/daniloderogatis

Clusit Member, IEEE Senior Member

Foggia, 5 marzo 2013Danilo De Rogatis

3

Obiettivi del talk

Fornirvi un quadro generale dei problemi legati ai meccanismi di autenticazione, con particolare riferimento alle password.

Fornirvi dei consigli per gestire le vostre password in modo più consapevole e sicuro.

In generale, accrescere la vostra consapevolezza sui rischi legati ad una cattiva gestione delle password.


4

La gestione delle password fa parte di un sistema più generale denominato AAA e composto da tre fasi (le 3 “A”):

Authentication - Gli utenti e gli amministratori devono dimostrare chi sono. L'autenticazione può essere stabilita tramite combinazioni di username e password, domande di challenge (sfida), token, e altri metodi.

Authorization - Dopo che l'utente è stato autenticato, i servizi di autorizzazione individuano le risorse a cui l'utente può accedere e quali operazioni l'utente è autorizzato a svolgere.

Accounting and auditing (tracciabilità) – Vengono registrate le azioni eseguite dagli utenti: a quali risorse si è potuto accedere, la quantità di tempo trascorsa su queste risorse, e le eventuali modifiche apportate.

AAA


5

Può essere effettuata con diversi metodi, in generale il paradigma di riferimento è:

• Qualcosa che so

• Qualcosa che ho

• Qualcosa che sono

Ad esempio posso avere un'autenticazione a più fattori:

Qualcosa che so: password

Qualcosa che ho: una One Time Password generata da un device (es. security token come quello che ci forniscono le banche)

Qualcosa che sono: biometria (impronta digitale, riconoscimento retina, etc.)

Oltre allo username ovviamente.

Concentriamoci sull'Autenticazione


6

D.Lgs. 196/2003 – Allegato B: Disciplinare tecnico in misure minime di sicurezza (Artt. da 33 a 36)

prevede che:

- il trattamento dei dati personali con strumenti elettronici venga effettuato mediante credenziali di autenticazione: userid/password o dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave;- parola chiave composta da almeno otto caratteri;- modificata almeno ogni 6 mesi (3 mesi per dati sensibili e giudiziari);- non riutilizzabile;- disattivata in caso di non utilizzo per almeno 6 mesi o in caso di furto/smarrimento/violazione etc.

Decreto “Amministratori di Sistema” (27/11/2008 mod. 25/6/2009)

Obblighi di Legge


7

In principio era la BS 7799:2: conteneva Linee Guida e Standard per la Gestione della Sicurezza delle Informazioni (SGSI).

Le linee guida sono state recepite dall'ISO come ISO 17799 (Information Technology -Security Techniques - Code of practice for information security management), mentre lo standard vero e proprio è è stato emesso come ISO 27001:2006.

Nel 2002 poi anche la norma 27001 è stata sostiutiuta dalla ISO27002:2007

Altri standard di di riferimento:

PCI-DSS (Payment Card Industry – Data Security Standard)

RFC 972 (Password Generator Protocol)

...e molti altri...

Standard di riferimento


8

Come scegliere le password?Come memorizzarle?Quanto devono essere lunghe? Quanto devono essere complesse? Ogni quanto tempo bisogna cambiarle?Posso riutilizzarle?Come proteggere le mie password?Le password sono violabili?

I problemi legati alla gestione delle password


9

“Eh, ma basta una password qualsiasi di almeno 6 caratteri...”

“Beh, sai, io non ho nulla da nascondere...in ufficio le mie password le conoscono tutti...”

“Ho lasciato la password di default...a chi vuoi che interessi il contenuto del mio PC o della mia casella di posta elettronica...”

“Anche se mi rubano la password di posta elettronica non fa niente...non c'è nulla di compromettente nei miei messaggi..”

“Non riesco a ricordare molte password, allora per non scrivermele uso la stessa per tutto...”

I “falsi miti” legati alle password...


10

Norton Cybercrime Report 2012


11

Norton Cybercrime Report 2012


12

Alzi la mano chi usa almeno una password più corta di 6 caratteri

Facciamo un piccolo test...


13

Alzi la mano chi usa la stessa password per almeno due tra le seguenti applicazioni: caselle e-mail,

Facebook, Linkedin, Twitter, Dropbox e così via ...



14

Alzi la mano chi usa come password:

- La propria data di nascita o quella di moglie/fidanzata/figli

- Il nome dell'animale preferito

- Una delle password listate qui a fianco (Linkedin disclosure)


passwordPassw0rdPassword11234561234567qwertyabc123pippo696969123123111111…


15

Poche: o siete timidi o siete furbi (o tutt'e due...)

Abbastanza: siete stati onesti

Molte: “Houston, abbiamo un problema...!” :)

Quante mani alzate?


16

“Oh My God!!”

“Caspita...domattina devo assolutamente ricordarmi di cambiare le password!!”


17

L'importanza di scegliere “buone” password

La password è ancora il Santo Graal delle informazioni!

Il “Key Factor” è ancora la sua lunghezza, più che la sua complessità.

Ad esempio, quale delle due password seguenti ritenete sia più “sicura”?

D0g.....................

PrXyc.N(n4k77#L!eVdAfp9


18

L'importanza di scegliere “buone” passwordProbabilmente avete risposto la seconda... :-D

In realtà è la prima

Per individuare la prima password con un attacco brute-force è necessario un tempo di esecuzione 95 volte più lungo rispetto alla seconda.

E se usiamo un attacco a dizionario? Non potrebbe essere presente nel dizionario?

Certamente, ma è estremamente improbabile che un dizionario contenga questo tipo di password.

Ricordiamoci che un attacker non ha alcuna informazione sul tipo di password, sulla sua lunghezza, sul set di caratteri usati: in sostanza lavora “alla cieca”.


19

Le password possono essere violate

Esistono diversi metodi:

Password guessingShoulder SurfingSniffingOn-line attackOff-line attack


20

Le password possono essere violate

...e svariati software:

John the Ripper Hydra Cain & Abel Brutus Ophcrack Etc. etc...


21

Attacchi a dizionario

E' un attacco basato sull'utilizzo di wordlist (dizionari) generate appositamente, disponibili anche liberamente in rete.Il set di caratteri utilizzato per costruire la wordlist è fondamentale (alfanumerici, caratteri speciali, maiuscole/minuscole, etc.).Più il dizionario è “calzante” (ad es. come lingua utilizzata) rispetto al servizio che si vuole attaccare, più l'attacco ha migliori probabilità di successo.


22

Rainbow tables

Per violare le password criptate (es. MD5, SHA1, etc.) devo:- criptare le password del mio dizionario - confrontarle con quella da “crackare”Finchè non trovo la password che “matcha”

Problema: perderei molto tempo.Soluzione: utilizzare database detti rainbow tables contenenti coppie del tipo <password in chiaro, password criptata>, confrontando direttamente le password criptate.


23

Consigli e best practices

Ricordate che per violare una password di 5 caratteri senza numeri, lettere maiuscole e caratteri speciali ci vuole meno di 1 minuto. Per 6 caratteri bastano 50 minuti. Evitiamo password uguali allo username, nomi e date di nascita dei figli, nome del cane, della fidanzata, della squadra del cuore, parole del dizionario (incluse le parolacce) e in genere qualsiasi informazione che possa essere facilmente ricavata anche dai social networks o dai motori di ricerca... Cambiamo le password ogni 60/90 giorni.Non condividiamole con altri utenti.Usiamo password almeno di 10-12 caratteri, con almeno 1 numero, una lettera maiuscola e 1 carattere speciale (es.|!%&@*§^ etc.). Più lunghe e complesse sono, meglio è. Con una password di 10 caratteri, contenente numeri, lettere e caratteri speciali, sono a posto per circa 21 milioni di anni ma......


24

Ma...

...sempre se non me la scrivo su un Post-it™ (e magari lo appiccico al monitor) !!


25

Un sito utilehttps://www.grc.com/haystack.htm


26

http://www.linkedin.com/in/daniloderogatis

@DaniloDeRogatis

[email protected]

Grazie per l'attenzione!

http://www.html.it/autore/daniloderogatis

https://www.facebook.com/danilo.derogatis


These slides are written by Danilo De Rogatis and are subjected to Creative Commons Attribution-ShareAlike 3.0 Unported (CC BY-SA 3.0). You are free to copy, distribute, transmit, adapt, sell the work under the following conditions: Attribution - You must cite the Author. Share Alike — If you alter, transform, or build upon this work, you may distribute the resulting work only under the same or similar license to this one. e