venerdì 21 ottobre 2016

Hanno rubato la mia password (e tre...)

(...almeno che io sappia)

Anche io sono uno dei 43.000.000 (quarantatre milioni) di utenti le cui credenziali Weebly sono state trafugate.

https://techcrunch.com/2016/10/20/weebly-hacked-43-million-credentials-stolen/

E' la terza volta che mi succede (LinkedIn, Dropbox). Non accade solo a me (vedi questo post).

Ciò spiega perché usare la stessa password per più siti è una follia. Se io usassi la stessa password su tutti i siti, allora l'attaccante che è riuscito a trafugare la mia password su uno di quei siti riuscirebbe ad impersonarmi in ogni altro sito. Da notare che le password trafugate sono quasi sempre messe in vendita a pochissimo prezzo, quindi sono note a potenzialmente chiunque.

Ciò spiega anche perché è necessario usare password lunghe e che non consistono di parole (vedi anche più sotto). Non perché gli attaccanti provano a inserire la password in un form esposto su web (e quindi riescono a provare circa 10 password al minuto). Il motivo è più complicato.

Le password trafugate in questi eventi non sono utilizzabili immediatamente perché sono "crittate" (non è proprio così, è solo per rendere l'idea). Possono essere utilizzate dall'attaccante solo se riesce a "decrittarle" . A tale scopo l'attaccante usa degli elenchi giganteschi contenenti tutte le possibili password: le "critta" una dopo l'altra fino a quando non ne trova una che, in forma "crittata", coincide con una di quelle che ha trafugato---bingo. L'attaccante riesce a provare milioni e milioni di password ogni secondo, perché opera su un file in suo possesso. Se uno ha usato una password di pochi caratteri, o con parole comuni, o con varianti prevedibili di parole comuni (ad esempio con lettera 'o' sostituita dalla cifra 0, o con appesa qualche cifra all'inizio o alla fine) è inevitabile che la password sia individuata.

Come scegliere una password in grado di resistere ad attacchi come questo? Non esiste una risposta univoca, anche perché dipende dallo sforzo che l'utente può e vuole impiegare nel mantenere le proprie password. Seguono suggerimenti.

L'approccio di gran lunga migliore è l'uso di un programma password manager (io uso Lastpass).

Se uno non può o non vuole usare un password manager, oppure deve scegliere password da usare anche senza password manager:

  1. Più lunga di 8 caratteri.
  2. Facile da ricordare (quindi niente caratteri speciali o cifre in posizioni strane).
  3. Presumibilmente non indovinabile da una persona che ci conosce (quindi niente figli, compagni, date di nascita, scuole, squadre di calcio e altro).
  4. Non legata a concetti legati al luogo di lavoro o ad immagini gradevoli (vari studi hanno mostrato che sono password scelte frequentemente, quindi gli attaccanti provano parole di questo genere più spesso).

Scegliere due o tre sostantivi del tutto scorrelati tra loro ed incollati insieme è spesso una ottima scelta. Ad esempio "polentapistone" oppure "corallocontrattoago".

Ultimo suggerimento: le password non devono essere modificate di frequente (a meno che uno non sia un amministratore di sistema; in quel caso la password deve essere modificata periodicamente). Il motivo è che se uno deve cambiare la propria password, inevitabilmente tende a convergere verso password facili da indovinare e/o password già usate in altri siti.

venerdì 14 ottobre 2016

Come si formula una domanda

Molto spesso gli studenti che devono fare una domanda generano una quantità elevatissima di parole che cercano di trasportare 4 concetti molto diversi tra loro:

  1. Domanda mirata a chiarire il dubbio
  2. Motivo per il quale è sorto il dubbio (ad esempio, slide ambigua o esperienza personale)
  3. Descrizione di uno scenario di esempio per chiarire la domanda
  4. Informazioni sullo scenario di esempio che sono del tutto inutili per la domanda

L'effetto più frequente è che chi riceve la domanda non capisce o deve fare un grande sforzo per capire. Un effetto accessorio molto frequente è che chi formula la domanda non genera una "grande impressione" in chi la riceve.

E' molto, molto, molto importante acquisire la capacità di distinguere questi concetti e di rifletterne la separazione in ciò che si dice o si scrive. Non è importante solo per il corso di reti, è importante sempre. In qualsiasi attività professionale. E' parte essenziale della capacità di esprimersi in modo comprensibile, una capacità fondamentale nella vita reale (vedi anche "Scrivere e presentare" in coda a questa pagina).

Non si deve cioè scrivere N paragrafi contenenti un'ammucchiata di parole in cui questi 4 concetti siano completamente mescolati tra loro. Occorre separarli chiaramente. Non necessariamente con paragrafi diversi o con separazioni sintattiche, ma almeno con una separazione logica che sia evidente al lettore o ascoltatore.

Ovviamente farlo quando si parla è molto più difficile che farlo quando si scrive. Inoltre, una capacità di questo genere non è quasi mai innata. Per la stragrande maggioranza delle persone è necessario uno sforzo costante nel tentativo di migliorarsi. Inoltre, prima di arrivare al massimo delle proprie capacità occorrono degli anni. Il punto di partenza però è rendersi conto di quanto ciò sia importante. Senza questa condizione necessaria uno scrive o parla di getto senza preoccuparsi minimamente di aiutare gli altri a capire.

Corollario di quanto ho scritto sopra è che quando si scrive qualcosa di moderatamente complesso---domanda specifica, documento, tesi di laurea, descrizione di una attività---ciò che si scrive deve essere letto, riletto, modificato, riletto, modificato, talvolta ristrutturato pesantemente, etc. Non si può scrivere di getto, dare un'occhiata all'ortografia, cambiare un paio di parole e via. O meglio, si può, ma l'effetto è che si genera del testo difficilmente comprensibile.

Importante: Non ho scritto questo riferendomi a nessun caso specifico che mi sia accaduto di recente. Mi riferisco alle infinite domande che mi sono state fatte a lezione o per email nel corso degli anni e alle infinite tesi che ho letto. Pensavo da tempo di scrivere qualcosa del genere, solo stamattina ne ho avuto il tempo e la voglia.