L'anello debole della sicurezza informatica: l'utente

Pubblicato il 11 Luglio 2012

Gli utenti per avere accesso ad informazioni e risorse hanno diversi mezzi a loro disposizione, come ad esempio un personal computer o un palmare. Tutti questi  mezzi presentano nel loro utilizzo il medesimo anello debole, cioè il personale che in molti casi, a causa di un’inadeguata sensibilizzazione riguardo alle tematiche della sicurezza, corre il rischio di facilitare involontariamente l’accesso ad informazioni e risorse critiche (dati aziendali, conti in banca ecc) da parte di utenti malintenzionati.

Questa vulnerabilità diviene evidente soprattutto durante la procedura di autenticazione di un utente tramite password, ma la password costituisce un’informazione critica poiché nel caso venga decifrata (o rubata), un utente malintenzionato può praticare la “user account spoofing”, che è la capacità di sostituirsi ad un altro utente, abusando della sua identità elettronica, per avere accesso ai suoi dati senza averne diritto. Nel caso lo spoofer si sostituisca all'identità dell'amministratore del sistema, è perfino possibile che si verifichi la compromissione completa della sicurezza dei dati e delle risorse.

Quello dell’identificazione “certa” dei soggetti che richiedono l’accesso a determinate risorse, è da sempre uno dei problemi alla base della sicurezza informatica.

Tra i sistemi di controllo degli accessi, quello dell’inserimento della coppia user ID e password è il metodo più classico e diffuso; la scelta è dovuta al fatto che, in via teorica le possibile combinazioni sono talmente numerose da rendere ogni tentativo di decriptazione molto lungo. Ad esempio con una password di 8 caratteri utilizzando i 95 caratteri ASCII a disposizione, le diverse combinazioni ottenibili sono 958, cioè circa 6,6x1015.

In realtà questo sistema può essere considerato il metodo che rende il sistema più vulnerabile, soprattutto a causa del fatto che normalmente un tentativo di password cracking comporta una complessità notevolmente inferiore rispetto a quella teorica a causa degli utenti, che spesso le rendono facilmente indovinabili.

Una delle principali problematiche risulta essere quella delle cosiddette password deboli, che rappresentano il tallone di Achille della sicurezza perfino nelle grandi multinazionali.  Nel caso in cui siano gli utenti a sceglierle, accade spesso che le password effettivamente utilizzate siano brevi e corrispondano a parole semplici da ricordare; le tipiche categorie di password scelte sono:

  • password con meno di otto caratteri (spesso solo numerici)
  • parole del dizionario italiano o straniero oppure di utilizzo comune come per esempio: nomi propri di familiari, di animali, di amici, di colleghi, di personaggi famosi, etc.
  • termini e nomi informatici, comandi, siti, società, hardware, software.
  • compleanni e altre informazioni personali come indirizzi e numeri di telefono.
  • pattern di nomi o parole come ad esempio: aaabbb, qwerty, zyxwvuts, 123321, etc.
  • ciascuna delle precedenti scritta al contrario oppure seguita da una cifra (es secret1)

Questa semplicità aumenta la possibilità, per utenti malintenzionati, di indovinare la chiave d’accesso: in questi casi infatti è sufficiente utilizzare un elenco di nomi probabili o di informazioni riguardanti l’utente che siano reperibili in rete o comunque in un modo non troppo difficoltoso per un individuo malintenzionato.

Inoltre all’interno di molte realtà aziendali si creano rapporti molto stretti tra i dipendenti che fanno aumentare il grado di fiducia interpersonale. Per ovviare alla precedente vulnerabilità, alcune aziende hanno deciso di adottare policy riguardanti la generazione di password da parte di un programma, ma questa scelta implica una difficoltà nella memorizzazione delle chiavi d’accesso, e per evitare dimenticanze molti utenti, indipendentemente dalla loro posizione in azienda, dalla cultura e dalle conoscenze informatiche personali, hanno l’abitudine di scriverle o su file word non criptati o ancora peggio su post-it attaccati sullo schermo dei loro pc (o per i più furbi sotto la tastiera), ma in questo modo si ottiene il risultato di rendere di fatto conoscibile una password a chiunque abbia accesso alla postazione computer: il fenomeno dell’insider trading infatti, tra le diverse minacce, per le aziende rappresenta quella più pericolosa nonché economicamente dannosa.

L’abitudine di scrivere le password su fogliettini volanti costituisce purtroppo una pratica ancora diffusissima non solo in azienda, ma anche in ambito domestico quando si tratta di creare la password per la casella mail o per il conto in banca. 

Scrivere la password su fogli o file non criptati non costituisce comunque l’unica modalità in cui gli utenti possono facilitare l’accesso alle loro risorse da parte di utenti non autorizzati: spesso infatti le postazioni desktop vengono lasciate incustodite durante le pause, ma risultano accessibili senza l’utilizzo di alcun meccanismo di autenticazione, oppure gli utenti lasciano le loro unità rimovibili (tipicamente chiavette USB) incustodite.

Un’altra tematica importante in merito alle password è quella del cosiddetto “shoulder surfing” che consiste nella pratica di osservare di nascosto il monitor di un utente stando alle sue spalle mentre effettua l’autenticazione. Il problema, nel caso di memorizzazione della password da parte degli utenti, è il fatto che questi ultimi siano molto lenti a digitarle rendendo quindi semplice il compito di carpirle per un individuo malintenzionato.

Consigli per costruire password più solide

Ma come è possibile ridurre la probabilità di  password cracking? Innanzitutto è opportuno modificare le password dei vostri account, con passorw più solide, formate da almeno 8 caratteri alfanumerici, possibilmente comprendenti lettere sia upper che lower case (a-z, A-Z), nonché simboli (come la @ o il # ad esempio) e punteggiatura, oltre a non rientrare nelle categorie precedentemente definite come password deboli. Questi accorgimenti però devono avere come scopo quello di creare una password non solo difficile da  crackare, ma anche facile da ricordare per noi, altrimenti si incorrerebbe di nuovo in una delle falle precedentemente descritte.

Esistono infatti diversi meccanismi di costruzione della password, che consentono di ottenere parole d'ordine non elementari a partire da informazioni mnemoniche. Tra i tanti metodi utilizzati per la generazione di password con le caratteristiche suddette vi è quello di scegliere una frase semplice da ricordare e, partendo da questa, costruire una sequenza di caratteri, tipicamente basata sulle iniziali delle parole. Per esempio partendo da "Biancaneve e i sette nani" si può facilmente ricordare la password "B-n&i7na"; un altro metodo per costruire password facilmente ricordabili è quello di utilizzare il numero di telefono di un amico. A questi set di caratteri è inoltre possibile aggiungere un suffisso a scelta come ad esempio @google.it per renderli più complessi da decriptare.

Inoltre per proteggere le nostre password occorre fare attenzione a:

  • non divulgarle al telefono, SMS o tramite VoIP;
  • non divulgarle in un messaggio email, in una chat o tramite software di tipo messenger;
  • non parlare della password in presenza di più persone;
  • non inserire mai il suggerimento della password (es. "il nome di mia figlia"); se in alcuni siti è obbligatorio suggerisco di inserire una domanda che aiuti voi a ricordare ma che possibilmente sia fuorviante nel caso un esterno stia cercando di accedere al vostro account.

Infine suggerisco di non usare la stessa password su tutti i siti a cui siete iscritti e ovviamente di cambarla regolarmente.

Scritto da macosanepensi

Con tag #Informatica

Repost0
Per essere informato degli ultimi articoli, iscriviti:
Commenta il post