Un recente sondaggio di VPNOverview ha mostrato che due terzi delle aziende non cambiano le password.
Il ragionamento alla base di questa statistica è ancora più preoccupante, poiché oltre la metà dei dipendenti evita di farlo perché teme di dimenticare le nuove password: pensa che questa pratica sia fastidiosa o semplicemente non ne vede l’utilità.
Secondo gli esperti del National Institute of Standards and Technology (NIST), per salvaguardare la sicurezza delle password non è necessario obbligare l’utente a modificarla sistematicamente e a seguire le consuete regole di scrittura (ad esempio caratteri maiuscoli, minuscoli, speciali o numerici).
Ma la maggior parte delle aziende e delle istituzioni italiane questo ancora non lo sa, o quanto meno non lo mette in pratica.
Il NIST è un’agenzia federale del Dipartimento del Commercio degli Stati Uniti. La sua missione è quella di promuovere l’innovazione e la competitività industriale attraverso l’elaborazione di standard sulla tecnologia per migliorare la sicurezza economica e la qualità della nostra vita. Più precisamente, il NIST si occupa della pubblicazione dei Federal Information Processing Standard (FIPS) che trattano diversi aspetti della sicurezza: crittografia (DES e l’AES) algoritmi di Hash (SHS) e così via. L’adozione di tali standard è obbligatoria per il governo statunitense, al contrario, non lo è per l’Europa ma data la loro autorevolezza sono considerati comunque un punto di riferimento globale.
La maggior parte delle persone tende ad usare sempre le stesse tecniche di creazione delle password. È noto, per esempio, che la parola “password” viene modificata, abitualmente e con scarsa fantasia, in: P@ssword, PASSWORD, passw0rd, P@$$w0rd, P@ssW0rd1 e via dicendo.
Questo rappresenta un punto debole che gli hacker conoscono e che sfruttano con algoritmi di password cracking, sviluppati per tenere specificamente conto delle cattive abitudini degli utenti.
Quindi, obbligare arbitrariamente le persone a cambiare periodicamente le password non è più considerata una pratica utile, anzi può portare l’utente ad utilizzare password banali per riuscire a ricordarle più facilmente (ogni volta che si è obbligati a cambiarle).
In altre parole, le politiche di scadenza delle password fanno più male che bene, perché inducono gli utenti ad impostare password molto prevedibili e strettamente correlate tra loro: quindi la password successiva può essere dedotta sulla base della password precedente.
Si aggiunge, tuttavia, che la password andrebbe comunque cambiata se c’è il sospetto o l’evidenza di una sua compromissione.
Anche perché le password, quando rubate, vengono sfruttate in tempi brevi: i cyber criminali usano quasi sempre le credenziali delle loro vittime non appena le compromettono.
La scadenza periodica della password è quindi una difesa solo contro la probabilità che una password (o il suo hash) venga rubata durante il suo intervallo di validità e venga utilizzata da un attaccante. Se una password non viene mai compromessa, non c’è bisogno di cambiarla. E se si ha la prova – o il sospetto – che una password sia stata rubata, è opportuno che si agisca immediatamente piuttosto che aspettarne la scadenza per risolvere il problema.
Oltre a quest’ultimo notevole cambio di orientamento, il NIST SP 800-63B riporta altre utili linee guida, anch’esse improntate sul buon senso e sulla praticità d’uso:
- la lunghezza minima per la password dovrebbe essere di almeno 8 caratteri, con una lunghezza massima consigliata di almeno 64 caratteri, inoltre dovrebbe essere permesso introdurre tutti i caratteri ASCII per aumentarne la robustezza;
- non dovrebbero essere imposte nemmeno “regole di composizione” poiché, la combinazione statisticamente più utilizzata dagli utenti è: lettera maiuscola all’inizio, numeri e caratteri speciali in fondo. Questo permette ad un possibile attaccante di circoscrivere il numero di tentativi, concentrando l’attacco brute force sulle password probabilmente più usate dagli utenti;
- è inutile impostare le domande di sicurezza. Il NIST invita a non richiederle poiché queste ultime, denominate anche hint, sono di solito troppo semplici da indovinare (es. Il nome del tuo primo animale domestico? Oppure il cognome da nubile di tua madre?). Basta usare un po’ di social engineering ed il gioco è fatto;
- altra utile indicazione del NIST, per semplificare la vita all’utente e consentirgli di ricorrere a password robuste, è di permettere ai richiedenti di utilizzare la funzione incolla al momento di inserimento della password. Si consiglia inoltre l’uso di password manager per facilitare la scelta di password forti e complesse. L’utente non può inserire una password lunga o difficile alla cieca e perciò egli finirà per optare per una password particolarmente semplice. D’altro canto, al momento dell’inserimento la password non dovrebbe essere censurata da asterischi o pallini per facilitarne la digitazione;
- da ultimo, ma non ultimo, sarebbe buona norma fare ricorso alla multi-factor authentication.Le password alfanumeriche sono anacronistiche perché la potenza di calcolo delle attuali CPU e GPU permette di individuarle, anche se complesse, in pochi minuti. La soluzione migliore è trasformare un sistema di autenticazione alfanumerico in un sistema di autenticazione legato all’utente, cioè alla persona che usa quelle credenziali di autenticazione. La Multi-Factor Authentication protegge e identifica in modo univoco chi accede ad una determinata risorsa.
Attualmente lo strumento più diffuso è una telefonata o un SMS contenete il codice OTP; entrambi potrebbero però essere compromessi dalla clonazione della SIM (SIM swap).
Il NIST evidenzia anche i rischi dell’utilizzo della linea telefonica per ricevere il secondo fattore OTP (one time password): una telefonata o un SMS con il codice OTP potrebbero essere dirottati dall’attaccante se questi riesce a realizzare una SIM swap (la clonazione della SIM, una truffa che oggi si sta diffondendo in modo preoccupante).
Meglio quindi utilizzare un “Multi-Factor OTP Device”, che potrebbe anche essere uno smartphone (“una cosa che tutti hanno”) che, attraverso un’applicazione apposita, generi un codice OTP “time-based” (quindi con una durata molto breve e generato da un algoritmo definito). Di solito si tratta di un codice numerico a 6 cifre.
Per maggior sicurezza, e nella logica dell’autenticazione multi-fattore, lo smartphone deve essere preventivamente attivato da “qualcosa che sai” (una password di sblocco) oppure da “qualcosa che sei” (l’impronta digitale, la faccia ecc.).
Quest’ultimo non è un passaggio da sottovalutare e ci fa capire perché, con l’entrata in vigore della Direttiva (UE) 2015/2366 nota come PSD2 (recepita dall’Italia con il D.lgs. 15 dicembre 2017, n. 218), non sono più ammessi i token hardware (quelle chiavette in plastica che generavano un codice a 6 numeri) per l’autenticazione nei siti bancari: erano dispositivi non sicuri, perché potevano essere attivati senza alcun codice di sicurezza. Quindi in caso di furto o smarrimento, chiunque avrebbe potuto utilizzarli.
Commenti recenti