Download - Gestione Password
La gestione delle passwordLa gestione delle password
Foggia, 5 marzo 2013Foggia, 5 marzo 2013Danilo De RogatisDanilo De Rogatis
2
# whoami Laurea in Informatica e Master in Sicurezza Informatica ed Investigazioni Digitali
Responsabile Area Sistemi Informativi ed Innovazione Tecnologica dell’Università di Foggia
OSSTMM Professional Security Tester Certified
Docente in corsi mirati alla sicurezza informatica
Ho fatto parte del Team di Sicurezza del G8 Summit 2009 che si è svolto in Abruzzo nel 2009
Security Evangelist & Infosec maniac :-)
Autore di articoli sulla Sicurezza Informatica per HTML.IT:http://www.html.it/autore/daniloderogatis
Clusit Member, IEEE Senior Member
Foggia, 5 marzo 2013Danilo De Rogatis
3
Obiettivi del talk
Fornirvi un quadro generale dei problemi legati ai meccanismi di autenticazione, con particolare riferimento alle password.
Fornirvi dei consigli per gestire le vostre password in modo più consapevole e sicuro.
In generale, accrescere la vostra consapevolezza sui rischi legati ad una cattiva gestione delle password.
Foggia, 5 marzo 2013Danilo De Rogatis
4
La gestione delle password fa parte di un sistema più generale denominato AAA e composto da tre fasi (le 3 “A”):
Authentication - Gli utenti e gli amministratori devono dimostrare chi sono. L'autenticazione può essere stabilita tramite combinazioni di username e password, domande di challenge (sfida), token, e altri metodi.
Authorization - Dopo che l'utente è stato autenticato, i servizi di autorizzazione individuano le risorse a cui l'utente può accedere e quali operazioni l'utente è autorizzato a svolgere.
Accounting and auditing (tracciabilità) – Vengono registrate le azioni eseguite dagli utenti: a quali risorse si è potuto accedere, la quantità di tempo trascorsa su queste risorse, e le eventuali modifiche apportate.
AAA
Foggia, 5 marzo 2013Danilo De Rogatis
5
Può essere effettuata con diversi metodi, in generale il paradigma di riferimento è:
• Qualcosa che so
• Qualcosa che ho
• Qualcosa che sono
Ad esempio posso avere un'autenticazione a più fattori:
Qualcosa che so: password
Qualcosa che ho: una One Time Password generata da un device (es. security token come quello che ci forniscono le banche)
Qualcosa che sono: biometria (impronta digitale, riconoscimento retina, etc.)
Oltre allo username ovviamente.
Concentriamoci sull'Autenticazione
Foggia, 5 marzo 2013Danilo De Rogatis
6
D.Lgs. 196/2003 – Allegato B: Disciplinare tecnico in misure minime di sicurezza (Artt. da 33 a 36)
prevede che:
- il trattamento dei dati personali con strumenti elettronici venga effettuato mediante credenziali di autenticazione: userid/password o dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave;- parola chiave composta da almeno otto caratteri;- modificata almeno ogni 6 mesi (3 mesi per dati sensibili e giudiziari);- non riutilizzabile;- disattivata in caso di non utilizzo per almeno 6 mesi o in caso di furto/smarrimento/violazione etc.
Decreto “Amministratori di Sistema” (27/11/2008 mod. 25/6/2009)
Obblighi di Legge
Foggia, 5 marzo 2013Danilo De Rogatis
7
In principio era la BS 7799:2: conteneva Linee Guida e Standard per la Gestione della Sicurezza delle Informazioni (SGSI).
Le linee guida sono state recepite dall'ISO come ISO 17799 (Information Technology -Security Techniques - Code of practice for information security management), mentre lo standard vero e proprio è è stato emesso come ISO 27001:2006.
Nel 2002 poi anche la norma 27001 è stata sostiutiuta dalla ISO27002:2007
Altri standard di di riferimento:
PCI-DSS (Payment Card Industry – Data Security Standard)
RFC 972 (Password Generator Protocol)
...e molti altri...
Standard di riferimento
Foggia, 5 marzo 2013Danilo De Rogatis
8
Come scegliere le password?Come memorizzarle?Quanto devono essere lunghe? Quanto devono essere complesse? Ogni quanto tempo bisogna cambiarle?Posso riutilizzarle?Come proteggere le mie password?Le password sono violabili?
I problemi legati alla gestione delle password
Foggia, 5 marzo 2013Danilo De Rogatis
9
“Eh, ma basta una password qualsiasi di almeno 6 caratteri...”
“Beh, sai, io non ho nulla da nascondere...in ufficio le mie password le conoscono tutti...”
“Ho lasciato la password di default...a chi vuoi che interessi il contenuto del mio PC o della mia casella di posta elettronica...”
“Anche se mi rubano la password di posta elettronica non fa niente...non c'è nulla di compromettente nei miei messaggi..”
“Non riesco a ricordare molte password, allora per non scrivermele uso la stessa per tutto...”
I “falsi miti” legati alle password...
Foggia, 5 marzo 2013Danilo De Rogatis
10
Norton Cybercrime Report 2012
Foggia, 5 marzo 2013Danilo De Rogatis
11
Norton Cybercrime Report 2012
Foggia, 5 marzo 2013Danilo De Rogatis
12
Alzi la mano chi usa almeno una password più corta di 6 caratteri
Facciamo un piccolo test...
Foggia, 5 marzo 2013Danilo De Rogatis
13
Alzi la mano chi usa la stessa password per almeno due tra le seguenti applicazioni: caselle e-mail,
Facebook, Linkedin, Twitter, Dropbox e così via ...
Facciamo un piccolo test...
Foggia, 5 marzo 2013Danilo De Rogatis
14
Alzi la mano chi usa come password:
- La propria data di nascita o quella di moglie/fidanzata/figli
- Il nome dell'animale preferito
- Una delle password listate qui a fianco (Linkedin disclosure)
Facciamo un piccolo test...
passwordPassw0rdPassword11234561234567qwertyabc123pippo696969123123111111…
Foggia, 5 marzo 2013Danilo De Rogatis
15
Poche: o siete timidi o siete furbi (o tutt'e due...)
Abbastanza: siete stati onesti
Molte: “Houston, abbiamo un problema...!” :)
Quante mani alzate?
Foggia, 5 marzo 2013Danilo De Rogatis
16
“Oh My God!!”
“Caspita...domattina devo assolutamente ricordarmi di cambiare le password!!”
Foggia, 5 marzo 2013Danilo De Rogatis
17
L'importanza di scegliere “buone” password
La password è ancora il Santo Graal delle informazioni!
Il “Key Factor” è ancora la sua lunghezza, più che la sua complessità.
Ad esempio, quale delle due password seguenti ritenete sia più “sicura”?
D0g.....................
PrXyc.N(n4k77#L!eVdAfp9
Foggia, 5 marzo 2013Danilo De Rogatis
18
L'importanza di scegliere “buone” passwordProbabilmente avete risposto la seconda... :-D
In realtà è la prima
Per individuare la prima password con un attacco brute-force è necessario un tempo di esecuzione 95 volte più lungo rispetto alla seconda.
E se usiamo un attacco a dizionario? Non potrebbe essere presente nel dizionario?
Certamente, ma è estremamente improbabile che un dizionario contenga questo tipo di password.
Ricordiamoci che un attacker non ha alcuna informazione sul tipo di password, sulla sua lunghezza, sul set di caratteri usati: in sostanza lavora “alla cieca”.
Foggia, 5 marzo 2013Danilo De Rogatis
19
Le password possono essere violate
Esistono diversi metodi:
Password guessingShoulder SurfingSniffingOn-line attackOff-line attack
Foggia, 5 marzo 2013Danilo De Rogatis
20
Le password possono essere violate
...e svariati software:
John the Ripper Hydra Cain & Abel Brutus Ophcrack Etc. etc...
Foggia, 5 marzo 2013Danilo De Rogatis
21
Attacchi a dizionario
E' un attacco basato sull'utilizzo di wordlist (dizionari) generate appositamente, disponibili anche liberamente in rete.Il set di caratteri utilizzato per costruire la wordlist è fondamentale (alfanumerici, caratteri speciali, maiuscole/minuscole, etc.).Più il dizionario è “calzante” (ad es. come lingua utilizzata) rispetto al servizio che si vuole attaccare, più l'attacco ha migliori probabilità di successo.
Foggia, 5 marzo 2013Danilo De Rogatis
22
Rainbow tables
Per violare le password criptate (es. MD5, SHA1, etc.) devo:- criptare le password del mio dizionario - confrontarle con quella da “crackare”Finchè non trovo la password che “matcha”
Problema: perderei molto tempo.Soluzione: utilizzare database detti rainbow tables contenenti coppie del tipo <password in chiaro, password criptata>, confrontando direttamente le password criptate.
Foggia, 5 marzo 2013Danilo De Rogatis
23
Consigli e best practices
Ricordate che per violare una password di 5 caratteri senza numeri, lettere maiuscole e caratteri speciali ci vuole meno di 1 minuto. Per 6 caratteri bastano 50 minuti. Evitiamo password uguali allo username, nomi e date di nascita dei figli, nome del cane, della fidanzata, della squadra del cuore, parole del dizionario (incluse le parolacce) e in genere qualsiasi informazione che possa essere facilmente ricavata anche dai social networks o dai motori di ricerca... Cambiamo le password ogni 60/90 giorni.Non condividiamole con altri utenti.Usiamo password almeno di 10-12 caratteri, con almeno 1 numero, una lettera maiuscola e 1 carattere speciale (es.|!%&@*§^ etc.). Più lunghe e complesse sono, meglio è. Con una password di 10 caratteri, contenente numeri, lettere e caratteri speciali, sono a posto per circa 21 milioni di anni ma......
Foggia, 5 marzo 2013Danilo De Rogatis
24
Ma...
...sempre se non me la scrivo su un Post-it™ (e magari lo appiccico al monitor) !!
Foggia, 5 marzo 2013Danilo De Rogatis
25
Un sito utilehttps://www.grc.com/haystack.htm
Foggia, 5 marzo 2013Danilo De Rogatis
26
http://www.linkedin.com/in/daniloderogatis
@DaniloDeRogatis
Grazie per l'attenzione!
http://www.html.it/autore/daniloderogatis
https://www.facebook.com/danilo.derogatis
Foggia, 5 marzo 2013Danilo De Rogatis
These slides are written by Danilo De Rogatis and are subjected to Creative Commons Attribution-ShareAlike 3.0 Unported (CC BY-SA 3.0). You are free to copy, distribute, transmit, adapt, sell the work under the following conditions: Attribution - You must cite the Author. Share Alike — If you alter, transform, or build upon this work, you may distribute the resulting work only under the same or similar license to this one. e