Le password sono una cosa seria!

Del Harvey è la responsabile della divisione Trust and Safety di Twitter. Dico subito che trovo il nome del gruppo sicurezza di Twitter fantastico. Rende perfettamente l’idea di un team di persone che lavorano per garantire all’utente (e all’azienda) la migliore e più sicura esperienza possibile. E Twitter del resto non è immune da problemi, anzi

Del ha scritto sul suo blog un articolo molto ben realizzato sull’importanza di avere password sicure e su alcuni consigli. Ho chiesto a Del il permesso di usare e tradurre il suo articolo, con la condizione di dire che ovviamente non è una guida esaustiva e che dovete sempre fare riferimento all’articolo originale per eventuali cambiamenti. E che, aggiungerei io, anche se vi sembrano cose dette e ridette fa sempre bene leggerle.

Parliamo quindi di password.

La sicurezza delle password è super-importante! Questo perché gran parte degli account vengono “craccati” anche perché gli utenti mettono password semplici, e magari usano sempre la stessa per un gran numero di account diversi (12345 anyone?). Qui di seguito proviamo ad elencare una piccola lista di consigli e best practice

NON condividete le vostre password con altre persone. Non importa quanto sia sicura una password: se qualcuno la conosce non lo è più. Se due persone usano lo stesso account, che sia di un servizio web o di un computer, è sbagliato. Fate account diversi.

NON usate una parola che si può trovare in un dizionario (e non usate nemmeno una cosa tipo 123456!!). Usare password complesse può voler dire problemi, ok, ma ci sono prodotti come 1Password o LastPass che le gestiranno per voi. Dategli un’occhiata, dovrete solo ricordarvi una password master. Anche il semplice gestore di password di Firefox può aiutarvi in tal senso, magari con Firefox Sync.

NON usate il nome del partner, o di vostro figlio, o del cane. Sono informazioni reperibili in un attimo sui social network, quindi sono password molto a rischio.

NON inserite le credenziali dopo aver cliccato su link sospetti, magari da email. Controllate sempre le fonti, potrebbero essere phishing. Controllate che il sito sia veramente quello, nel dubbio non entrate, ma usate quello che avete già inserito nei bookmark o scrivetelo voi.

NON usate la stessa password per più siti diversi. Lo so, è molto comodo, ma vuol dire che se viene compromessa quella password, rischiate di perdere tutti i vostri account.

RICORDATE che le domande di sicurezza possono essere una vulnerabilità! Se qualcuno sta cercando di entrare nei vostri account, non sarà un problema per lui sapere in che città siete nati o qual è la vostra squadra del cuore. Per una sicurezza extra mentite nelle domande di sicurezza: siete della Roma? Dite che siete laziali! Magari se usate 1Password o LastPass potete segnarvi qual’era la vostra bugia. Se invece avete la possibilità di scrivervi le vostre domande di sicurezza: siate creativi! Con una ricerca ormai si trova tutto.

SAPPIATE che se utilizzate algoritmi per le vostre password, con una parte fissa e una che cambia a seconda del sito, tipo Google123 o Facebook123, non siete propriamente al sicuro. Perché molto spesso se viene compromessa una password, questa verrà usata anche per entrare su altri siti, provando le opportune modifiche (non è poi così difficile). E poi vi chiederete perché non ho usato password diverse?.

SIGH… dopo tutte queste parole state ancora utilizzando la stessa password su più siti vero? Se proprio non vi va di usare una password diversa per ogni sito, almeno provate a differenziare in base al rischio. Usate la stessa password per siti non importanti per voi, una molto più sicura per i siti che vi interessano e password complesse e diverse per i siti fondamentali: banca, email, facebook, ecc. Ricordate che quelli più importanti non sono solo quelli con i vostri soldi, ma anche quelli con la vostra identità.

SUGGERIMENTO: volete un aiuto su una password non presente in un dizionario ma non volete usare un password manager? Provate un testo di una canzone, prendete le prime iniziali di ogni parola e contraete il tutto. Esempio: Acqua azzura, acqua chiara, con le mani posso finalmente bere! può diventare “Aa,ac,clmpfb!” Ricordate che le maiuscole e i segni di interpunzione possono aumentare di molto la sicurezza di una password. E a volte anche gli spazi bianchi aiutano tantissimo!

Tanto per riepilogare il tutto, Twitter da parecchi consigli su quanto detto, vale la pena leggerli. Per il resto, come sempre nella sicurezza, cercate sempre di usare il buonsenso. E se avete dei dubbi, controllate sempre prima di fare qualsiasi cosa, molto spesso i dubbi sono fondati.

Se volete parlarne, sono qui.

Bye!

Phishingn nelle

7 pensieri su “Le password sono una cosa seria!

  1. Pensa che a volte anch’io trasgredisco…
    Rischia di essere una predicazione nel deserto.
    E se si riesce a far passare il messaggio agli utenti alfabetizzati, immagina a spiegare la cose ai “truzzi”, quelli con il cappellino con la visiera stretto e appoggiato in testa.
    Pensa che mi ero scritto un programma nel 1987 che utilizzava il DES per tenere memoria delle mie password crittografandole con una master password.
    Ti ricordi che il nostro istruttore diceva che bastava una tavoletta di cioccolato per farsi dire una password?
    Gli umani sono l’anello debole della sicurezza e più un argomento dipende dal loro arbitrio più è debole o rischia di essere tale.

    Giancarlo

    Rispondi

  2. Beh, diciamo che nessuno è perfetto, e che comunque l’informatica è un luogo in cui la selezione naturale conta ancora molto.
    Come direbbe un mio collega: il problema è l’ottavo livello della pila ISO/OSI…

    Rispondi

  4. Ciao Glamis è la prima volta che visito il tuo blog e vedo con piacere che hai parlato anche dell’importanza delle password in un post completo e “allegro”. Volevo (se posso) aggiungere che un qualsiasi admin disonesto potrebbe risalire alle password semplicemente accedendo al database dove sono conservate (WordPress per esempio le salva in un database) , dove esse sono cryptate in MD5, copiare il codice e riportarlo su Google perchè questo fornisca la “traduzione”… Non sono un esperto nell’ambiente della sicurezza, anzi, ma volevo solo segnalare anche questa possibilità e chiederti se fosse possibile proteggersi in modo efficiente.

    Grazie e ciao,
    LittLutt

    Rispondi

    • Ciao LittLutt, grazie della visita e mi fa piacere che il post sia piaciuto. In effetti già l’originale di Del era molto ben fatto.

      La tua osservazione è molto valida, e pone un problema serio nella gestione delle utenze a livello enterprise.

      Prima di tutto c’è da dire che purtroppo non sempre l’hash delle password viene fatto. Sembra incredibile lo so, ma anche oggi nel 2012 diverse applicazioni web e prodotti open source o commerciali non si pongono minimamente il problema. Un esempio? Quando ti registri ad un sito e nell’email di conferma trovi lo username e la password, allora vuol dire che è in chiaro nel db. Pare che anche quelle del PlayStation Network hackerato qualche mese fa fossero in chiaro.
      E questo nella PCI è addirittura vietato…

      Poi, e hai ragione, non basta fare l’hash, e di sicuro non basta usare il vetusto ed insicuro MD5. Bisognerebbe sempre aggiungere un po’ di sale.

      Se vuoi approfondire l’argomento questo articolo è molto ben fatto su come “salare” le password hashate.

      Rispondi

  5. Ho letto rapidamente l’articolo e ho notato che (per me che non capisco quasi niente di sicurezza informatica) è abbastanza complesso ma molto interessante… Approfondirò l’argomento e ti ringrazio per avermi fornito qualcosa su cui ragionare e una risposta esaustiva alla mia domanda 🙂

    Rispondi
  6. Pingback: Qualche nota sull’attacco a Twitter | Glamis on Security ~

Commenta il post!

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Gravatar
Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Annulla

Connessione a %s...