Come creare password sicure ed efficaci, e come ricordare una password
In questo piccolo articolo parlerò delle password, della social engineering e di come evitare di farsi rubare le password e come invertarne di efficaci. E soprattutto, vedremo come ricordare password sicure ed efficaci.
Infatti oggi le password ricoprono un ruolo importantissimo nella vita di tutti i giorni, basti pensare ai servizi di home-banking, il codice PIN del cellulare, la password della casella email ecc…
Infine farò un piccolo appunto sulla biometria e sul perchè è inefficace.
Cominciamo… una password (letteralmente: chiave d' accesso, o addirittura: chiave per passare) è un metodo per impedire che altri accedano a informazioni riservate (ma non solo). Possiamo descrivere una password come se fosse una vera e propria chiave, solo che è virtuale.
Solitamente le password sono alfanumeriche, cioè contengono sia numeri che lettere (ad esempio: r5g4h2) oppure in alcuni casi possono essere solo numeriche (vedasi ad esempio il PIN della SIM Card).
E' importantissimo usare password che non formino una parola sensata. Infatti, in questo modo (se usate una parola sensata) è molto facile che la password vi venga trovata tramite un dictionary attack. Cerchiamo di fare più chiarezza sui metodi di come trovare una password:
Come scoprire una password
Solitamente si può fare in tre modi diversi: brute-force, dictionary attack e social engineering; solitamente i più usati sono il brute-force e molto di più la social engineering.
Descriviamo questi tre metodi.
Il brute-force è il più classico: si prova una serie di combinazioni tutte differenti finchè non si trova quella giusta. Questo metodo purtroppo è inevitabile, non c'è password che resista (ma è possibile complicarlo usando password molto lunghe, poi capirete). Ma comunque questo metodo richiede tantissimo tempo, anche anni, e non è attuabile sempre poichè ci sono sistemi che dopo un tot di tentativi sbagliati bloccano il tutto (il PIN del cellulare ad esempio dopo 3 tentativi sbagliati blocca la SIM Card).
Inoltre servono cluster di computer molto potenti per mettere in pratica il brute-force.
Il dictionary attack si basa su delle particolari liste con milioni di parole che a quanto si dice sono le più comuni nelle password. Ma comunque, se uno è intelligente appunto non usa parole di senso compiuto. Pertanto, questo metodo è molto facile da evitare, è sufficiente non usare parole di senso compiuto e quasi di sicuro si evita.
Il terzo è il metodo della social enigineering. Questo è di sicuro il più affascinante poichè di basa sul ricavare la password direttamente da chi la ha "ingannandolo" in un certo modo. E' molto complessa, e non è da tutti. Ad esempio si cominciano a ricavare diverse informazioni sulla persona e con varie domande "strane" riuscire ad acquire la password.
Un metodo usatissimo è il phishing: ovvero imbrogliare l' utente facendogli credere che (ad esempio) siete della società della carta di credito e volete la sua password per fare un controllo sull' account. Oppure mandare le cosiddette e-mail fasulle che invitano l' utente a digitare la propria password in un sito somigliante a quello (ad esempio) di una banca, e quindi rubargli la password. Sono successi molti episodi di questo tipo, ad esempio ai danni degli utenti di eBay, di posteItaliane ecc…
Comunque in generale è facile evitare la social engineering, basta stare molto attenti e riconoscere i "siti truffa". E inoltre ricordate che eBay, posteItaliane ecc… non vi chiederanno MAI la vostra password (sopratutto poi per email… in casi gravi telefonano, o inviano una raccomandata) poichè la sanno già!
Come proteggersi
Beh, dopo che ho scritto come rubare una password penso che ci voglia un paragrafo su ome difendersi no? 😀
Detto fatto…
Allora, ricapitoliamo i punti importanti da seguire quando si inventa una password:
- Non usiamo mai parole di senso compiuto (così blocchiamo il dictionary attack).
- Usiamo password abbastanza lunghe (almeno 6-8 caratteri), in questo modo rendiamo molto difficoltoso il brute-force.
- Usiamo sempre sia lettere che numeri nelle password (quando possibile).
E poi, ricordiamo sempre di non scrivere mai la password su un foglietto sparso per la nostra scrivania o peggio scrivere una password su un file nel pc.
Ovviamente direte: ma come faccio a ricordarmi password di 10 cifre fatte tralaltro senza parole di senso compiuto? C'è un metodo semplice ed efficace.
Pensiamo a una frase (che comunque non deve essere per forza di senso compiuto), ad esempio: Mangio 5 Ghiaccioli Ogni 3 Giorni E Poi Ne Compro 4.
Detta così questa frase è senza senso, ma in realtà è utilissima.
Ad esempio possiamo prendere solo i numeri e le iniziali di ogni parola per comporre una password, e quindi verrà fuori: m5go3gepnc4.
Visto? Siamo riusciti a ottenere un ottima password, facile da ricordare (infatti basta ricordare solo la frase) e praticamente impossibile da indovinare.
Con questo metodo possiamo sbizzarrirci in tutti i modi che vogliamo, ad esempio possiamo prendere le lettere iniziali, finali di ogni parola, prendere una parola si e una no, eccetera… insomma, sbizzarritevi!
La biometria: un futuro più sicuro?
La biometria… bella domanda… non possiamo dire che la biometria sia la soluzione definitiva ai problemi delle password, anzi…
Infatti, secondo me, la biometria non è nulla di eccezionale.
Oramai chiunque riesce a riprodurre un impronta digitale, e si riesce anche a riprodurre l' iride dell' occhio. Pertanto non si possono definire sicure.
La soluzione più efficace rimane sempre quella di usare una password vera e propria.
Inoltre, se uno volesse a tutti i costi l' accesso al mio pc, io potrei comunque rifiutarmi di dargli la password, e sarebbe il mio modo di rimanere in vita… altrimenti potrebbe benissimo tagliarmi un dito e usarlo per far scattare una protezione basate sulle impronte digitali…
In particolare, Tsutomu Matsumoto ha dimostrato per primo che i sistemi di protezione basati sulle impronte digitali sono ormai alla frutta…
Gli sono bastati pochi materiali reperibili facilmente per duplicare un impronta: un pc, una macchina fotografica digitale, un adesivo cianoacrilato (l'attak) e una piastra ramata per circuiti stampati (PCB) e della gelatina che si usa per le caramelle.
Gli è bastato fotografare l' impronta, renderla piana con un programma di grafica (photoshop), trasferila sul folgio di cianoacrilato e poi sulla piastra ramata che ha usato come stampo per la gelatina: risultato? Perfetto.
Se siete interessati alla duplicazione delle impronte digitali, visitate il sito www.totse.com dove tra gli altri articoli ne troverete uno su come duplicare le impronte digitali.
Pertanto… non fidatevi mai troppo della biometria e per le questioni "delicate" usate sempre e comunque le password.
Spero che questo articolo vi sia stato utile e vi aiuti in tutti quei casi dove avete bisogno di una password.
Mah non è detto che sia il più semplice…
Anzi… ci sono casi di attacchi di Social Engineering assurdi. Ovvio che non si tratta di roba semplice ne tantomeno di cose da lamer, quanto piuttosto attacchi che richiedono anche mesi e necessitano di grande esperienza per essere portati a termine.
Eh…ovviamente al phishing ci pensano i lamer…cmq è il metodo piu semplice (purtroppo o per fortuna?)…
le card da 1 o 2 giga che si inseriscono nel cell, perchè non è possibile proteggerle con la password?
Ciao,
Beh dipende dal sistema operativo del cellulare che usi.
Se usi Symbian serie 60 ci sono ad esempio programmi come Best Crypto atti allo scopo.
visto che uno stronzo me ne ha fregata 1 sti giorni e ha fatto i macelli stavolta l’ho messa lunga e bella tosta da indovinare. vedremo chi la spunterà
ingegnere informatico per RECUPERO PASSWORD ACCOUNT EMAIL E FACEBOOK.
——-> info al 3271980463