Home
Superare le password

16 Luglio 2012

Superare le password

di

I punti deboli nella catena sono troppi e dipendono da troppi soggetti. È ora di cercare altri sistemi di autenticazione.

Il numero degli incidenti di sicurezza a seguito dei quali vengono divulgate le credenziali di accesso ai servizi pare in costante crescita. Solo negli ultimi giorni abbiamo avuto notizie che hanno coinvolto centinaia di migliaia di account legati a servizi di Yahoo!, Formspring, ai forum di NVIDIA o di sviluppatori Android ed altri. Per chi fosse interessato a seguire la cronologia di questi ed altri incidenti consiglio senza esitazione la timeline degli eventi curata da Paolo Passeri su Hackmageddon.

Quello che è successo con Yahoo! in questo caso è leggermente diverso dal solito: sono state trovate oltre 450.000 password in chiaro. Si tratta di un vecchio file relativo ad una acquisizione condotta mesi fa e che è confluita in Yahoo! Voices. Non c’è dubbio che quel file non avrebbe dovuto esistere dove è stato trovato e le password avrebbero almeno dovuto essere protette con modalità di cifratura opportuna. Le analisi sulle password trovate e sulla loro frequenza sono giochini divertenti ed istruttivi ma non rilevano particolarmente in questo caso.

Questo incidente ha scatenato un riflesso condizionato da parte di molti esperti per cui è partito il solito ritornello di suggerimenti sulla gestione delle password: usare password diverse per ogni servizio, escogitare metodi che consentano di avere password non indovinabili con un attacco basato su parole esistenti, possibilmente superare un certo numero di caratteri. Tutti consigli validi ma che non rispondono ad una domanda probabilmente viene data per scontata: come è possibile che le password utilizzate dagli utenti per accedere ai servizi online non siano protette adeguatamente?

In un’intervista rilasciata a ZDnet da Marcus Carey si dice chiaramente:

Not that it mattered much. Yahoo was storing the passwords in plain text; no hash, no salt, according to Marcus Carey, a security researcher at Rapid 7. He called the plain-text password storage “an industry no-no. That should be Security 101.” “It was a total password failure”

Quello che le aziende di servizi online stanno scoprendo è che c’è bisogno di politiche di Identity and Access Management che siano più efficaci di quelle attualmente in uso. L’esistenza di architetture e processi frammentati agevola il compito di chi ruba account e password. Agli utilizzatori si può chiedere una maggior accortezza ed attenzione nella scelta e nella gestione delle password ma soprattutto cautela nella scelta dei propri fornitori di servizio e nei metodi di accesso agli stessi. Se è disponibile una modalità di autenticazione che non richiede l’uso di password e privilegia altri fattori e metodi è un ottimo punto di partenza!

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.