FabSec01 – Password questa sconosciuta
Parecchio tempo fa, leggendo uno dei post divulgativi di Kon-igi, mi era venuta voglia di creare un servizio di divulgazione di Information Security. Non lo taggo, così che possa godersi in pace le sue barrette di cioccolato bianco, ma lo ringrazio ugualmente per l’ispirazione.
Con solamente un paio d’anni di ritardo, eccomi finalmente a pubblicare il mio primo post. Considerando che probabilmente non se lo filerà nessuno, sarà pure l’ultimo. Se dovesse invece riscuotere successo, farò del mio meglio per pubblicarne altri. Se dovesse infine diventare virale, vi invito tutti a cena a festeggiare.
Tema del post: Come si gestisce una password?
Le regole importanti sono poche, ma essenziali.
Primo: se sei un essere umano e sei in grado di memorizzare la tua password, allora la password è insicura. Secondo: più caratteri entrambi usi, meglio è. Terzo: lungo è bello (Password!)
Ed eccoci al primo dilemma: come posso utilizzare password sicure, se poi l’unico modo per ricordarle è trascriverle su un foglietto di carta da formaggio conservato accanto al mio PC? La risposta è ahimè vagamente anti-intuitiva: NON devi conoscere le tue password. Una soluzione sicura si basa sul fatto che tu NON debba memorizzare le tue password.
Possibile? Impossibile?
Per fortuna la tecnologia accorre in nostro aiuto, grazie ad applicazioni chiamate “Password Manager”. I PM sono dei contenitori di credenziali che faciliteranno l’accesso ai vostri account e eviteranno appunto che dobbiate memorizzare le vostre password.
Esistono parecchi PM, e molti prendono la forma di app per PC, mobile app, browser plugin, .. o tutte queste cose insieme. In tutti i casi, il PM richiederà l’inserimento di una master password, la “password di tutte le password”, per aprire la cassaforte e consentire l’accesso e utilizzo delle suddette credenziali.
Ecco un esempio della prima schermata:
Una volta inserita la password, potrete selezionare il sito a cui volete accedere, e lasciare che il PM apra una pagina nel browser e automaticamente inserisca username a password. E il gioco è fatto. Nota: PM diversi si comportano in maniera diversa, ma il principio e` lo stesso.
A questo punto, i più scaltri di voi, si domanderanno: eh, ma la master password? Come posso proteggerla o memorizzarla? Qualora venisse ottenuta da un utente malintenzionato, sarebbe il cavallo di troia per accedere a tutti i miei segreti! Ottima domanda. Dunque, in realtà ci sono parecchi meccanismi di protezione a prescindere della master password. Al tempo stesso, la vostra obiezione è valida.
La master password è importantissima e in quanto tale deve essere molto robusta. Lunghezza della password, entropia e key space (funzioni dell’insieme di caratteri da cui pescate per creare la vostra password) sono fondamentali. Ergo, è importante che scegliate una master password con cautela.
Una buona password è qualcosa come: Ciao!PossoInviarti8FotoDelPeneDiMiaCugina?:|
Ad attenta analisi, noterete che la password soddisfa tutti i criteri più importanti:
- Lunghezza (45)
- Caratteri in Maiuscolo (Sì)
- Caratteri in Minuscolo (Sì)
- Caratteri Numerici (Sì)
- Caratteri Speciali (Sì)
- Memorizzabile (Sì)
- Unsolicited Dick Pics (No)
Le passphrase sono probabilmente una delle soluzioni migliori per ottenere password molto robuste e che al tempo stesso possano essere memorizzate.
In conclusione, il mio suggerimento è di fare uso di un PM come primo passo per irrobustire la vostra sicurezza online. Per ragioni che non vale la pena trattare in questo post, i PM sono utili anche per altri motivi. Un esempio su tutti: i PM sono più abili di noi a identificare un website fake, perciò sarà più difficile trarci in inganno.
Sia chiaro, i PM non sono il Santo Graal, e ovviamente fanno gola a qualunque black hat hacker, per ovvi motivi. Tutto considerato, restano però un primo passo verso una “security posture” migliore.
Nei prossimi giorni, o forse mai.. chissà, pubblico un’appendice a questo post con qualche suggerimento per analizzare la vostra sicurezza attuale. Sempre in tema password, ovviamente.
FabSec01 - End
PS: Tu che leggi e conosci il tema.. lo so che il post sorvola su moltissimi aspetti, ma è stato scritto a scopo divulgativo. Sentiti liber* di inviarmi suggerimenti, che leggerò, oppure scatenare un flame, che ignorerò

















