Se il server le conserva in chiaro
Superare le password
16
lug
2012
I punti deboli nella catena sono troppi e dipendono da troppi soggetti. È ora di cercare altri sistemi di autenticazione.
Il numero degli incidenti di sicurezza a seguito dei quali vengono divulgate le credenziali di accesso ai servizi pare in costante crescita. Solo negli ultimi giorni abbiamo avuto notizie che hanno coinvolto centinaia di migliaia di account legati a servizi di Yahoo!, Formspring, ai forum di NVIDIA o di sviluppatori Android ed altri. Per chi fosse interessato a seguire la cronologia di questi ed altri incidenti consiglio senza esitazione la timeline degli eventi curata da Paolo Passeri su Hackmageddon.
Quello che è successo con Yahoo! in questo caso è leggermente diverso dal solito: sono state trovate oltre 450.000 password in chiaro. Si tratta di un vecchio file relativo ad una acquisizione condotta mesi fa e che è confluita in Yahoo! Voices. Non c’è dubbio che quel file non avrebbe dovuto esistere dove è stato trovato e le password avrebbero almeno dovuto essere protette con modalità di cifratura opportuna. Le analisi sulle password trovate e sulla loro frequenza sono giochini divertenti ed istruttivi ma non rilevano particolarmente in questo caso.
Questo incidente ha scatenato un riflesso condizionato da parte di molti esperti per cui è partito il solito ritornello di suggerimenti sulla gestione delle password: usare password diverse per ogni servizio, escogitare metodi che consentano di avere password non indovinabili con un attacco basato su parole esistenti, possibilmente superare un certo numero di caratteri. Tutti consigli validi ma che non rispondono ad una domanda probabilmente viene data per scontata: come è possibile che le password utilizzate dagli utenti per accedere ai servizi online non siano protette adeguatamente?
In un’intervista rilasciata a ZDnet da Marcus Carey si dice chiaramente:
Not that it mattered much. Yahoo was storing the passwords in plain text; no hash, no salt, according to Marcus Carey, a security researcher at Rapid 7. He called the plain-text password storage “an industry no-no. That should be Security 101.” “It was a total password failure”
Quello che le aziende di servizi online stanno scoprendo è che c’è bisogno di politiche di Identity and Access Management che siano più efficaci di quelle attualmente in uso. L’esistenza di architetture e processi frammentati agevola il compito di chi ruba account e password. Agli utilizzatori si può chiedere una maggior accortezza ed attenzione nella scelta e nella gestione delle password ma soprattutto cautela nella scelta dei propri fornitori di servizio e nei metodi di accesso agli stessi. Se è disponibile una modalità di autenticazione che non richiede l’uso di password e privilegia altri fattori e metodi è un ottimo punto di partenza!
[...] Superare le password | Apogeonline. Share this:FacebookShareEmailPrint Posted by af at 09:24 Tagged with: apogeo, articolo [...]
Caro Francesco, mi hai chiesto “macchenepensi?”, non dovevi. Comunque eccomi:
Quando penso alla gestione dei miei mille account, delle mie mille e più password, mi viene il mal di testa; quando penso alla gestione di account e password di amici e conoscenti il mal di testa passa subito, ben sostituito da una sconsolata smorfia d’ironico dolore.
Ho in mente una sola parola: standard. Aperti, chiusi o misti, ma standard.
Standard nella gestione delle politiche di IAM, standard delle interfacce che i tool di gestione devono implementare ed esporre per essere considerati standard (NB: non tool standard nel senso di tutti uguali, quelli non servono).
Standard, però, che non possono essere imposti da nessuno, se non dal mercato; e nel mercato vince il più efficace, trasparente, veloce e… standard.
Siamo ancora molto lontani, “tecnicamente e culturalmente”(1).
Un paio di esempi molto simili tra loro:
1) abilito la strong authentication sul mio account Google, in modo tale che mi venga chiesta anche una One Time Password per accedervi (OTP, fornita -nel mio caso-da una app installata sullo smartphone). Nell’usare altri servizi offerti dal colosso di Mountain View, però, soprattutto in fase di configurazione, questa interessante feature di sicurezza deve essere disabilitata, pena la non accessibilità dei servizi stessi. Aaargh!
2) Caso simile al precedente, denunciato da nientepopodimenoche il signor Linux, al secolo Linus Torvalds, con l’arrivo del suo nuovo Nexus 7; leggere per credere:
“Linus Torvalds: My Nexus 7 has arrived.
However, I have absolutely nothing to report, since I also updated my phone at the same time.And as a result have spent much too much time just updating the one-time passwords I have for all my toys (and browser sync etc).
I’m sure there is some smart way to sync two different phones with google authenticator (It’s somewhere in the settings, I bet!) but the “obvious” way to update 2-step verification was to disable and re-enable it. Which seems to invalidate all old authentication tokens”.
My 1 cent (c’è crisi).
Luca
—-
(1) “tecnicamente e culturalmente”: a tutti i livelli; da strumenti e pratiche utilizzate dagli utenti finali, alle tecniche di implementazione delle infrastrutture e di sviluppo software. Avete mai chiesto ad un programmatore super senior come si fa a scrivere “codice sicuro”? Provateci…
Il giorno che avremo la possibilità di federare le autenticazioni potrebbe non essere male. OpenID? OAuth?
Vedremo! Grazie, ciao! f.
[...] con il vostro servizio preferito. ps2: Wozniak esagera, ma la provocazione è valida e ci si deve riflettere. /* Bookmark on Delicious Digg this post Recommend on Facebook Share on FriendFeed Share [...]