Password Sicura - Come sceglierla bene

Password Sicura - Come sceglierla bene. Utilizzare password sicure è cosa fondamentale per evitare brutte sorprese. Tanti utenti non sanno che moltissime password utilizzate comunemente possono essere scoperte, dai malintenzionati, con una velocità e facilità impressionante. Molti non sanno che esistono poche e chiare regole che garantiscono una elevata sicurezza della password. Vedremo come valutare, con semplicità, la bontà di una password, esporremo i concetti che sono alla base della creazione di una solida ed efficace password e presenteremo, anche, un software, gratuito, per la criptazione delle password.

Verificare la bontà di una password

Al successivo punto, vedremo Come scegliere una buona password, adesso, propongo un sistema per verificare, in maniera pratica e semplice, la bontà di una password. Si tratta di un servizio online gratuito e non serve registrazione. Basta andare alla pagina:

The Password Meter

Un sentito ringraziamento a Dead che fa parte del Team del nostro Forum, per avere segnalato questa risorsa. italiano.

Tornando alla risorsa online, ad inizio pagina troverete la sezione riportata nella figura sottostante:

Prova la password Fig. 1

Basterà digitare (funziona anche il copia ed incolla) la vostra password nella riga 1.

Inserendo la spunta (click) nel quadratino della riga 2, i caratteri della password verranno nascosti (utile se avete persone vicino) come mostrato nella seguente figura:

Prova la password Fig. 2

Tornando alla seconda figura in alto, alla riga 3, troverete il punteggio assegnato alla password (più è grande più la password è sicura).

Alla riga 4, troverete un giudizio sulla complessità della password (più è la complessità più la password è sicura).

Nella parte di destra, area 5, sono indicati i requisiti minimi richiesti alla password con l'elencazione degli elementi contenuti (maiuscole, minuscole, numeri, simboli).

ATTENZIONE: trattandosi di un servizio online, fidarsi è bene e non fidarsi è meglio. Pertanto suggerisco un trucchetto. Provate la password e quindo è sicura trasformatela cambiando tutti o alcuni caratteri: minuscole con minuscole, maiuscole con maiuscole, numeri con numeri, simboli con simboli. La sicurezza della nostra vera password sarà uguale a quella verificata. Ecco un esempio di password cambiata:

Prova la password Fig. 3

La password che adotteremo avrà la stessa sicurezza di quella provata, perchè la struttura non cambia, infatti i primi 4 caratteri sono lettere minuscole (in entrambe), poi una maiuscola, quindi un numero ..., ecc... Possibilmente, non inserire caratteri ripetitivi.

Con questo trucchetto la nostra password non sarà andata online (password adottata) pur avendone testato l'efficacia (password verificata).

Il sito è in inglese, riporto la pagina in italiano (traduzione Google), in modalità grafica e non attiva, per meglio comprendere le diverse voci esplicative:

The Password Meter - pagina grafica in italiano

Sicurpas free - La sicurezza italiana al topSarebbe quasi inutile avere prestato tanta cura nella scelta delle passoword se poi si tengono liberamente nel computer o nella pendrive. Quindi se desiderate un software di qualità, tutto italiano, che protegge le password e cifra qualsivoglia tipo di file. Allora vi rimando a Sicurpas. E’ stato progettato, da una squadra di esperti, per offrire ai propri utenti un elevatissimo grado di sicurezza. Disponibile sia nella versione installabile, quanto nella versione portable che non sporca il registro di Windows. Tra poco uscirà la nuova versione e presto vedrà la luce anche la versione per Linux:

Sicurpas free - La sicurezza italiana al top

Come scegliere una buona password

Ecco adesso un interessantissimo articolo che tratta la problematica relativa alla scelta di una buona password. L'articolo originale è in francese, ma grazie al lavoro di traduzione della brava Laure Hierche, che fa parte del Team del nostro Forum col nick-name: Lauretta, adesso è disponibile anche in italiano.

Un sentito ringraziamento a Lauretta per avere reso, liberamente, fruibile il frutto del suo lavoro.

________________________

Autore dell'articolo originale: Frédéric Prost

docente di informatica presso l'Université Joseph Fourier di Grenoble in Francia. Lavora sulla teoria dei linguaggi di programmazione, la riservatezza e l'intelligenza artificiale.

Pubblicato il 12/09/2012

su www.contrepoints.org

Traduzione italiana: Laure Hierche

Recenti studi dimostrano che in generale, pochi sono quelli che sanno scegliere delle password di qualità. Ma cos'è una buona password?

Password Sicura Fig.1Non capita tutti i giorni di potere dare come esempio da seguire un noto criminale. Eppure questo è il caso per quanto riguarda Daniel Dantas Valente: un ex banchiere brasiliano che è stato condannato per corruzione e accusato di riciclaggio di denaro. Sta scontando una condanna a dieci anni di prigione. Ma perché presentarlo come un modello? E 'ormai quattro anni che l'FBI ha provato senza successo (dopo il medesimo fallimento dei servizi brasiliani) di decifrare il contenuto di cinque hard disk sequestrati durante l' operazione "Satyagraha". L'FBI ha tentato un attacco di forza bruta basato su dei dizionari. Niente da fare... L'idea era semplicemente di provare tutte le password dei dizionari una dopo l'altra finché non si trovava quella giusta. In questo caso l'algoritmo di crittografia utilizzato da Dantas era AES (non vi è al momento attacchi noti per violare questo sistema crittografico che è la crittografia standard delle organizzazioni governative degli Stati Uniti fin dai primi anni 2000), e il software di crittografia TrueCrypt che è un software libero. Era difficile trovare un metodo più intelligente per cercare di decodificarle. Quindi, se ci fosse un unica cosa di ciò che il signor Dantas ha fatto da ritenere, sarebbe di tentare di imitare il metodo che ha usato per scegliere le sue password. Sono indubbiamente di ottima qualità!!! Purtroppo, studi recenti dimostrano che non se ne può dire altrettanto di quelle scelte dal signore e dalla signora di tutti i giorni.

Uno studio statistico sulle password utilizzate effettivamente per accedere agli account hotmail di 10 000 utenti dimostra che la scelta di una password corretta dal punto di vista della sicurezza non è una prassi seguita dalla maggioranza degli utenti. Difatti la password 123456 è apparsa per ben 64 volte! Inoltre. Circa il 70% delle password hanno una lunghezza compresa tra 6 e 9 simboli, il che è molto scarso. La situazione peggiora se si considera che il 42% delle password contengono solo lettere minuscole. Come vedremo, tali password non offrono praticamente nessuna sicurezza in quanto resistono, al massimo, pochi minuti agli attacchi basati sull'uso di dizionari.

Un'altra grande preoccupazione per quanto riguarda le password di sicurezza deriva dalla famosa domanda segreta di tipo “qual è il nome della tua prima ragazza” o altro. E 'chiaro che è molto più facile indovinare la risposta alla domanda segreta che trovare una password, ovviamente è da lì che inizierà a cercare colui che cerca di piratare un account. La raccomandazione più sensata in merito a queste domande è di soprattutto non utilizzarle o, se si è costretti, a dare una risposta che sia complicata da trovare almeno quanto la password. In altri termini, queste domande segrete dovrebbero essere facoltative perché, se sono necessarie, vuol dire che indeboliscono la sicurezza del account.

Torniamo alla domanda principale: che cosa è una buona password? Cercheremo di rispondere a questa domanda scientificamente usando la teoria dell'informazione.

L'entropia : il peso dell'informazione

Password Sicura Fig.2Il fatto che una chiavetta USB sia piena d'informazione o vuota non cambia il suo peso. Avere reso concreto il fatto che l'informazione è un oggetto virtuale senza peso, quasi indipendente da qualsiasi supporto fisico, è una caratteristica della virtualizzazione dell'informazione. Tuttavia l'informazione rappresenta sempre un qualcosa di cui permane la necessità di misurarne la quantità.

In 1948 Claude Shannon (foto a destra) introduce la nozione di entropia per misurare l'informazione. L'idea alla base della definizione di entropia è di considerare che la caratteristica fondamentale dell'informazione è di ridurre l'incertezza.

Immaginiamo il seguente esperimento: supponiamo di avere un messaggio che un esaminatore cerca di fare indovinare ad un giocatore. Il gioco procede come segue: il giocatore propone una lettera. L'esaminatore risponde sì o no a secondo dell'esattezza della soluzione finale, se la risposta è no, l'esaminatore indica anche quale era la lettera corretta. Il gioco continua, lettera per lettera, fino alla fine del messaggio. E 'chiaro che, in certi momenti del gioco, quando ad esempio le lettere "ANTICONST'' sono stati scoperte, il giocatore può scegliere le seguenti lettere "ITUTIONNELLEMENT'' senza rischio di sbagliare. Invece all'inizio del messaggio non vi è ragione di scegliere una piuttosto che un'altra lettera (a parte il fatto che le lettere non sono distribuite secondo una legge equiprobabile per l'inizio delle parole, basta guardare un dizionario per rendersene conto). Dal punto di vista del giocatore, è come se cercasse di determinare un valore casuale tra 0 e 21 (0 rappresentando lo spazio, 1 rappresentando 'A', 2 'B' ecc) . Il punto è di valutare quello che si guadagna, in media, a conoscere una nuova lettera sapendo che il testo da scoprire è scritto in una determinata lingua. Da notare che questo gioco è stato testato e ha dimostrato, sperimentalmente, che circa una lettera su due è ridondante nelle varie lingue.

E' la misura di questo valore che viene chiamata entropia del messaggio. Più un messaggio è prevedibile, più la sua entropia è bassa. Nel caso estremo, una parola composta di 17.000 'A' non contiene 17.000 informazioni (difatti la prova ne è che ho potuto descrivere questa parola in una breve frase), la sua entropia è di 14 bit (questo è il logaritmo in base 2 di 17000) perché, a grande linee, mi è sufficiente conoscere le sue dimensioni per conoscere la parola. Siccome in informatica tutto si scrive con dei 0 e dei 1, viene scelto di esprimere l'entropia in quantità di bit necessari per rappresentare l'informazione. Al contrario, una sequenza del tutto casuale di 0 e di 1 di dimensione n avrà una entropia di n, dato che non si può descriverla in modo più economico che scrivendola (è anche la definizione scientifica di una sequenza casuale).

Alcuni ordini di grandezza

Semplifichiamo il problema ora: il gioco è quello di indovinare un numero segreto scritto in binario (in effetti, tutto ciò che si scrive su un computer si trasforma in un numero di questo tipo, compreso la password). Da quale dimensioni in poi diventa illusorio un attacco di forza bruta (vale a dire provando tutte le cifre binarie di una certa dimensione, come l'FBI ha cercato di farlo sugli hard disk di Dantas)? Il tempo necessario per trovare il codice segreto dipende direttamente dal tempo impiegato per ogni prova. Supponiamo di potere fare 10 ^ 15 test al secondo (questo corrisponde alla media dei numeri di operazioni aritmetiche semplici che attualmente raggiungono i supercomputer), che è un'approssimazione molto conservatrice. Un avversario molto ricco potrebbe mettere più computer in parallelo, il che non è inconcepibile se si considerano le aziende informatiche di società come Google o certe agenzie governative, come la NSA. Supponiamo che il nostro avversario ne abbia 1000 e quindi una capacità finale di 10 ^ 18 test al secondo. La seguente tabella mostra il tempo medio trascorso per un attacco di forza bruta su una cifra binaria:

Dimensione in bits

Tempo di enumerazione

56

17,7 giorni

64

145 anni

128

9,06 x 10^28 anni

256

3,52 x 10^84 anni

512

5,32 x 10^196 ann

Come si può vedere, i tempi esplodono letteralmente con l'aumento delle dimensioni del codice sotto esame. Per dare un ordine d'idea, l'età dell'universo è stimato a 13.7 x 10 ^ 9 anni e quindi un attacco di forza bruta su 128 bit richiederebbe enormemente più tempo dell'età dell'universo! D'altronde vi è un argomento fisico sul fatto che una chiave a 128 bit non può essere attaccata con forza bruta. Questo è il principio di Landauer. Le leggi della fisica implicano che vi è un livello minimo di energia per modificare il valore di un bit in una memoria del computer. Questo valore minimo è: k T ln (2) , dove k è la costante di Boltzmann e T la temperatura in gradi Kelvin in cui il computer opera. Soltanto elencare tutti i numeri, secondo questa formula 10 ^ 18 Joule, richiederebbe quindi a 128 bit (con un computer perfetto, vale a dire senza inutili perdite di energia) 30 gigawatt all'anno che corrispondono a 262 7 terawatt / ora. Per rendere ancora meglio l'idea, il consumo totale di energia elettrica in Francia per l'anno 2010 è stato solo di un po 'più del doppio di questo valore, ossia 550,3 terawatt / ora … Non c'è nemmeno abbastanza energia in tutto l'universo per un attacco di forza bruta su un codice di 256 bit.

L'entropia delle password

Per misurare la forza di una password si deve dunque riuscire a misurare la sua entropia. Nella realtà le password non sono dei numeri binari casuali, ma sono formate da una sequenza di simboli presi da un alfabeto. Supponiamo di avere N diversi simboli in quest'alfabeto e che la lunghezza della password è L. Se la password viene scelta con le stesse probabilità per ogni simbolo, ci sono N ^ L password possibili. L'entropia di una password fatta in questo modo è di ln (N ^ L) = L x ln (N). Si può osservare che l'entropia della password aumenta linearmente con la sua lunghezza (il che è intuitivamente banale), ma la sua forza, aumenta esponenzialmente. Osserviamo il valore di entropia di un simbolo per i casi più comuni:

Simboli della password

Entropia per simbolo

Solo numeri

3,32

Numeri e lettere tra 'A' e 'F'

4

Lettere minuscole

4,7

Numeri e lettere maiuscole

5,1

Lettere minuscole e maiuscole

5,7

Numeri e lettere minuscole e maiuscole

5,9

Simbolo ASCII scrivibile

6,5

È la combinazione delle due tabelle precedenti che permette oggettivamente di decidere se una password è buona o meno. Per un corretto livello di sicurezza, deve essere di almeno 64 bit di entropia, da 100 bit in su di entropia uno può stimarsial riparo dagli attacchi più comuni. Si può notare che oltre 128 bit non è più veramente necessario di aumentare la dimensione della password in quanto la sicurezza non cambierà dal punto di vista "umano".

Così per ottenere 64 bit di entropia deve esserci almeno un numero di 20 cifre (che è impossibile da ricordare per la maggior parte delle persone), o una parola scritta con 16 lettere minuscole. Si può anche scendere fino a 12 lettere dal momento in cui maiuscole e minuscole vengono mescolate. Da notare che la chiave wep utilizzata per garantire l'accesso alle reti wireless (il codice che si trova sotto il modem Internet in dotazione composto da un alternarsi di numeri e lettere comprese tra 'A' e 'F', che non è altro che un numero scritto in esadecimale) contengono solo 40 bit di entropia (perché sui 64-bit della dimensione della chiave 24 sono utilizzati per altri scopi), il che non è molto rassicurante...

Infine, se si usano le lettere mescolate con numeri e simboli di punteggiatura (ossia i caratteri ASCII scrivibile, più semplicemente i simboli sulla tastiera di un computer) occorre in ogni caso ricordarsi una parola di 10 simboli. Per ottenere 128-bit basta moltiplicare le cifre sopracitate per 2, visto e considerato la progressione lineare dell'entropia con la dimensione della password. Spesso si da come precetti di usare la punteggiatura e di mischiare lettere maiuscole e minuscole per una buona password. Il problema permane che occorre sempre almeno 10 simboli ed è molto difficile ricordare qualcosa di simile a cX&A!ErJ31, il che significa che prima o poi si finirà per scrivere la password da qualche parte...

Si deve sapere che l'aggiunta di una lettera maiuscola all'inizio della propria password e un punto alla fine ad esempio non cambia in modo significativo la sicurezza, perché … questo è quello che fanno tutti o quasi quando la politica della password è troppo rigida. In stesso modo cambiare una "e'' in" 3'' o "O'' in '' 0”, storia di inserire i numeri al posto di lettere, non porterà quasi nulla in termini di sicurezza, perché sono sostituzioni molto frequenti che sono facilmente implementabili negli algoritmi di cracking delle password.

Si deve anche fare attenzione a non prendere una parola dal dizionario. Difatti, una parola di un dizionario, dal punto di vista della teoria dell'informazione, è visto come un simbolo unico, ovvero il dizionario è paragonabile ad una tastiera gigante. Un dizionario medio ha circa 75 000 vocaboli. Ciò significa che l'entropia associata ad una parola è ln (75.000) = 16,2. Come abbiamo visto, è molto poco sicuro di scegliere una password di 16 bit di entropia. Tuttavia, prendendo quattro parole che non sono direttamente collegate (cioè che non fanno parte di una frase che può essere facilmente intuibile) si crea una password facile da ricordare con un'entropia maggiore di 64 e quindi di un livello molto buona. Ad esempio, la seguente password broccalatterottoduro anche se lunga (è composta da 20 lettere minuscole, quindi, senza considerare l'uso di questo dizionario, è una password già sicuro) è facile da ricordare se si associa la password alla storia di Pierina e il secchiolino di latte. Il problema è che spesso la dimensione massima della password è predefinita e non consente di utilizzare questa tecnica.

___________________

NOTA: questo articolo, in italiano ed in formato PDF è scaricabile dal nostro forum alla discussione sotto indicata per il Supporto e l'aiuto.

Supporto ed aiuto

Basta andare nel Forum del Majorana, alla discussione:

Come scegliere una buona password

Per maggiori notizie, il download e per i collegamenti, si rimanda al link dell'approfondimento.

Password Sicura - Come sceglierla bene

di Antonio Cantaro

Istituto-Majorana

Responsabile account:
Antonio Cantaro (Docente responsabile del settore informatica)

Tutte le categorie

Password Sicura - Come sceglierla bene

di Antonio Cantaro

Istituto-Majorana

Responsabile account: Antonio Cantaro (Docente responsabile del settore informatica)

Tutte le categorie

Responsabile account:
Antonio Cantaro (Docente responsabile del settore informatica)