venerdì 21 ottobre 2016

Hanno rubato la mia password (e tre...)

(...almeno che io sappia)

Anche io sono uno dei 43.000.000 (quarantatre milioni) di utenti le cui credenziali Weebly sono state trafugate.

https://techcrunch.com/2016/10/20/weebly-hacked-43-million-credentials-stolen/

E' la terza volta che mi succede (LinkedIn, Dropbox). Non accade solo a me (vedi questo post).

Ciò spiega perché usare la stessa password per più siti è una follia. Se io usassi la stessa password su tutti i siti, allora l'attaccante che è riuscito a trafugare la mia password su uno di quei siti riuscirebbe ad impersonarmi in ogni altro sito. Da notare che le password trafugate sono quasi sempre messe in vendita a pochissimo prezzo, quindi sono note a potenzialmente chiunque.

Ciò spiega anche perché è necessario usare password lunghe e che non consistono di parole (vedi anche più sotto). Non perché gli attaccanti provano a inserire la password in un form esposto su web (e quindi riescono a provare circa 10 password al minuto). Il motivo è più complicato.

Le password trafugate in questi eventi non sono utilizzabili immediatamente perché sono "crittate" (non è proprio così, è solo per rendere l'idea). Possono essere utilizzate dall'attaccante solo se riesce a "decrittarle" . A tale scopo l'attaccante usa degli elenchi giganteschi contenenti tutte le possibili password: le "critta" una dopo l'altra fino a quando non ne trova una che, in forma "crittata", coincide con una di quelle che ha trafugato---bingo. L'attaccante riesce a provare milioni e milioni di password ogni secondo, perché opera su un file in suo possesso. Se uno ha usato una password di pochi caratteri, o con parole comuni, o con varianti prevedibili di parole comuni (ad esempio con lettera 'o' sostituita dalla cifra 0, o con appesa qualche cifra all'inizio o alla fine) è inevitabile che la password sia individuata.

Come scegliere una password in grado di resistere ad attacchi come questo? Non esiste una risposta univoca, anche perché dipende dallo sforzo che l'utente può e vuole impiegare nel mantenere le proprie password. Seguono suggerimenti.

L'approccio di gran lunga migliore è l'uso di un programma password manager (io uso Lastpass).

Se uno non può o non vuole usare un password manager, oppure deve scegliere password da usare anche senza password manager:

  1. Più lunga di 8 caratteri.
  2. Facile da ricordare (quindi niente caratteri speciali o cifre in posizioni strane).
  3. Presumibilmente non indovinabile da una persona che ci conosce (quindi niente figli, compagni, date di nascita, scuole, squadre di calcio e altro).
  4. Non legata a concetti legati al luogo di lavoro o ad immagini gradevoli (vari studi hanno mostrato che sono password scelte frequentemente, quindi gli attaccanti provano parole di questo genere più spesso).

Scegliere due o tre sostantivi del tutto scorrelati tra loro ed incollati insieme è spesso una ottima scelta. Ad esempio "polentapistone" oppure "corallocontrattoago".

Ultimo suggerimento: le password non devono essere modificate di frequente (a meno che uno non sia un amministratore di sistema; in quel caso la password deve essere modificata periodicamente). Il motivo è che se uno deve cambiare la propria password, inevitabilmente tende a convergere verso password facili da indovinare e/o password già usate in altri siti.
Posta un commento