Pagina 91 - officeautomation-ottobre 2012
Versione HTML di base
89
ottobre 2012
dati dei server contenenti gli account, l’accesso
fraudolento agli applicativi per la gestione in locale,
tipicamente sul PC dell’attaccato, degli account e
delle pwd in uso, la scoperta degli account e delle
pwd con tecniche anche semplici di social engine-
ering tipo “shoulder sniffing”, ossia osservare alle
spalle della persona quali codici inserisce sulla ta-
stiera. Altri software, anche gratuiti, tipo Cain&Abel,
consentono poi di intercettare, “sniffare”, sulla rete,
senza che l’utente se ne accorga, tutti i dati inol-
trati in rete dal PC attaccato, individuato dal suo
indirizzo IP o MAC.
Pagine e pagine di policy aziendali e un’infinità di
articoli sulla sicurezza informatica evidenziano come
l’efficacia della pwd risieda nella sua lunghezza e
complessità. I tipici suggerimenti o norme per la
creazione di pwd includono la minima lunghezza di
otto caratteri con uso di lettere, numeri, caratteri
speciali, minuscole e maiuscole, l’uso di pwd diverse
per accedere a diversi servizi, la modifica della pwd
almeno ogni tre mesi senza recuperare quelle pre-
cedentemente usate. Si dovrebbe poi evitare l’uso
di informazioni personali e dei propri famigliari.
Ma quanto devono essere ‘forti’ per essere ragio-
nevolmente sicure?
L’autenticazione ‘forte’ richiede tecniche crittogra-
fiche ed il certificato digitale: ma le pwd?
Le indicazioni sopra esposte per creare una pwd
sono sicuramente valide e rendono più difficile la
loro scoperta con un ‘attacco brutale’.
Ma una pwd complessa, ad esempio di 25 o più ca-
ratteri diversi, serve d’avvero ? Sicuramente serve,
ma serve assai di più che sia difficile da immaginare,
e quindi scoprire: e non è la stessa cosa.
La lunghezza di una pwd in effetti non ha più l’im-
portanza che aveva una volta con le attuali tecniche
in uso, come ad esempio il controllo del numero di
tentativi in un dato arco temporale.
Più che creare e gestire pwd complesse dobbiamo
imparare ad inventare pwd difficili da scoprire. Oc-
corre bilanciare complessità con gestibilità: non è
importante ottimizzare una pwd, ma crearne una
che, nel suo contesto, sia sufficientemente e ragio-
nevolmente sicura.
Personalmente ritengo che una buona pwd do-
vrebbe essere di almeno 10 caratteri, e piuttosto
che incrementare la lunghezza della pwd sia meglio
usare u-id non banali e non facilmente riconducibili
a dati personali, ovviamente se si ha la libertà di
poterli definire liberamente.
Anche gli archivi vanno protetti
Al di là della lunghezza e della complessità di una
pwd e di un u-id, è essenziale poi proteggere ade-
guatamente dove vengono archiviati gli account,
che contengono sia u-id che pwd che possono es-
sere anche centinaia: praticamente impossibile ram-
mentarle tutte, quindi occorre registrarle da qualche
parte. Al di là del quadernetto sul quale trascriverle
(ma dove poi nasconderlo?), esistono programmi
anche open-source che consentono la gestione dei
vari account personali, criptandoli sull’hard-disk del
PC e/o su storage removibili, tipicamente le chiavet-
te USB. Ma possono essere usati anche strumenti
di informatica individuale, quali fogli elettronici e
trattamento testi: basta che questi documenti sia-
no criptati. In tutti questi casi occorre proteggere la
pwd di accesso al programma o per la crittazione:
è bene che sia “forte” e ...che venga tenuta a men-
te. Suggerisco , e non è un’esagerazione, di inserir-
la stampata assieme alle istruzioni su come usarla
(quale PC, quale programma, ecc.) in un documento
cartaceo da riporre in busta chiusa e da conservare
in un luogo sicuro, ad esempio nella cassaforte in
casa o in banca. È poi conveniente memorizzare l’e-
lenco degli account su storage removibili, le tipiche
chiavette USB: sempre criptando il tutto.
Ma per la protezione dei propri account, ed in par-
ticolare delle pwd, occorre stare molto attenti nel
loro uso in Internet, ed in particolare sulle reti WiFi.
Se ne trovano molte libere, non protette da pwd.
Attenzione!! Potrebbe essere quella di un attaccante
che l’ha sprotetta appositamente per far abboccare
le sue vittime, allettate dalla connessione gratuita,
soprattutto nelle località di vacanza.
È molto meglio cercare, se disponibili, hot spot pub-
blici che consentano sì la navigazione gratuita, ma
fornendo una chiave di protezione WPA (WiFi Pro-
tected Access): così facendo, tutto il traffico viene
criptato e risulterà incomprensibile.
Marco Bozzetti
