1. Passwords in the Modern
Era
Francesco Gemin
Federico Longhin
Vladymir Tarquini
2. Cos’è una Password?
Una password è una stringa più o meno lunga di caratteri usata per verificare l’identità
di un utente.
Utilizzate fin dai tempi antichi e conosciute da pochi furono lo strumento prediletto
per restringere l’accesso a determinati luoghi da parte di coloro la cui presenza non era
gradita.
Nell’era moderna sono solite essere accoppiate con un username univoco o un
indirizzo di posta elettronica.
4. La tua Password è protetta?
La pratica e lo studio di tecniche per la messa in sicurezza di una comunicazione in
presenza di terze parti avversarie è detta crittografia.
Questa scienza basata su teoremi matematici era in passato usata per convertire
un’informazione da pubblica a privata rendendola illeggibile ai più.
Viene oggi pesantemente basata su pratiche informatiche per cui gli algoritmi
divengono altamente difficili da infrangere da parte di un avversario.
5. Algoritmi e Password?
Attraverso gli algoritmi di crittografia si garantisce la confidenzialità dei dati e
l’individualità dell’utente.
La maggior parte degli algoritmi in questione non è reversibile, bensì, per controllare
la propria identità si utilizzano meccanismi di hashing attraverso i quali è possibile
confrontare due stringhe crittografate, se uguali, si è l’utente che si dice di essere.
6. Una Password è quindi sempre sicura?
Se gli algoritmi di crittografia ci garantiscono la sicurezza che la nostra password sia
protetta, qualsiasi combinazione di caratteri usata può considerarsi corretta.
Esistono però delle regole che la maggior parte dei provider impone ai propri utenti
durante il processo di creazione di un account e la conseguente immissione della
password nel terminale di registrazione.
Perché? Beh… L’utente medio, la maggior parte delle volte per ignoranza, ripone
troppa fiducia in questi algoritmi.
8. Regole comuni
Sempre più spesso, ogni qualvolta si desideri registrare un account viene richiesto di
seguire delle regole molto restrittive quando si inizia a digitare la propria password.
Questa pratica porta, solitamente, alla frustrazione dell’utente stesso che cercherà di
aggirare il blocco attraverso stratagemmi controproducenti alla sua sicurezza.
9. Unicode Horrors
Questa password di quattro caratteri: ✅🐎🔋
In un terminale unicode risulta: ********
Questa password di otto caratteri: 正确马电池订书钉
In un terminale unicode risulta: ********
Possiamo notare come una password relativamente semplice “✅🐎🔋 ” può essere
considerata dal sistema come complessa e quindi accettabile. In un mondo diviso tra
unicode ed emoji, regole che controllano: uppercase, lowercase, presenza di numeri e
presenza di simboli divengono inutili.
10. Lunghezza != Sicurezza
Questa tipologia di regole porta anche alla disinformazione digitale, l’utente medio,
andrà a legare intrinsecamente il concetto di lunghezza con il concetto di sicurezza.
Come è possibile osservare dall’esempio, password lunghe non sono sempre sicure,
bensì, possono diventare anche le più insicure possibili.
11. Password Horrors
Si può denotare l’inefficacia delle regole tuttora presenti nei terminali di registrazione
dalla lista delle 25 password più utilizzate nel 2016.
Queste password potrebbero essere tutte rimosse sottoponendole ad un controllo della
lunghezza per un totale di caratteri superiore a 10, ma nulla impedirebbe all’utente di
copiare la medesima password due volte, facilmente superando questa regola.
12. Conclusioni
1. Le regole per le password sono troppo complesse e controproducenti.
2. E’ necessario creare una regola completamente unicode la cui lunghezza superi
quella delle password più comuni.
3. E’ necessario controllare la presenza nella stringa delle password più comuni.
4. E’ necessario un controllo di entropia di base per evitare password come
“aaaaaaaaaaaaaaaaaaa” o “0123456789012345689”.
5. E’ necessario controllare la presenza nella stringa di casistiche particolari, come
una password uguale al proprio nome utente o all’indirizzo del sito.
14. Applicativi in aiuto della memoria
Nonostante sia l’opzione consigliata, tenere a mente svariate password differenti e
complesse per ogni portale a cui si è iscritti può diventare estremamente difficile.
In aiuto dell’utente sono stati creati vari applicativi per la memorizzazione delle chiavi
attraverso algoritmi di crittografia, in modo da garantire la privacy all’interno del
device prescelto.
La scelta di un applicativo rispetto ad un file TXT o simili è necessaria, in quanto, nel
caso in cui si vada a perdere il supporto fisico sul quale si è deciso di tenere traccia
delle proprie chiavi di sicurezza, se il ladro non conosce la Master Password non ha
modo di accedere ai dati presenti al suo interno.
15. Dashlane
Disponibile per i sistemi operativi di maggioranza, Dashlane è un software Freemium
che permette il salvataggio di password.
Funzionalità Caratteristiche
Autocompilazione
Avvisi di sicurezza immediati
Refresh automatico delle password
Master password
Integrazione con Google Authenticator
Algoritmo di cifratura pubblico
16. 1Password
Disponibile per i sistemi operativi di maggioranza, 1Password è un software Freemium
che permette il salvataggio di password.
Funzionalità Caratteristiche
Autocompilazione
Estensione per browser
Utilizzo di WebCrypto
Master password
Backup su Cloud
Algoritmo di cifratura pubblico
17. KeePass
Disponibile per i sistemi operativi di maggioranza, Keepass è un software Open Source
che permette il salvataggio di password.
Funzionalità Caratteristiche
Database facilmente importabili ed esportabili in vari formati
Presenza di plugin aggiuntivi
Open Source
Molteplici master password
Generatore di password
Algoritmo di cifratura pubblico
20. Cos’è?
La verifica in due passaggi è un metodo di autenticazione che si basa sull’utilizzo
congiunto di due metodi di autenticazione individuale.
Alla fase di login viene richiesto il proprio nome utente, la propria password e un
ulteriore chiave, solitamente sotto forma di codice numerico, fornita da un dispositivo
fisico di varia natura in possesso dell’utente.
23. Obiettivo del Sondaggio
L’obiettivo del sondaggio in questione era quello di capire quanto gli utenti al giorno
d’oggi fossero informati sulle buone pratiche per mantenere una password sicura e
quanto le mettessero in pratica.
Dai risultati, visibili online, è emerso che la maggior parte dell’utenza cambia le
proprie password raramente o mai non facendo uso di un software per la loro
memorizzazione.
E’ stato ulteriormente individuato che l’85% conosca informazioni a riguardo i criteri
di complessità delle password e la maggior parte di loro è d’accordo che siano utili.
24. Fortuna o crittografia?
Nonostante la maggior parte dei risultati porti ad una visione disfattista della sicurezza
degli utenti che hanno risposto al sondaggio, solo il 25% ha subito un furto di account
e tutti sono riusciti a recuperare la propria password con successo in caso di
smarrimento.
Questo porta a dedurre l’efficienza degli algoritmi di crittografia utilizzati nel mondo
moderno e la semplicità con cui è possibile recuperare la propria password se smarrita.
La maggior parte degli utenti conosce l’esistenza della verifica in due passaggi, la
utilizza, ma solo in casi specifici, probabilmente in siti in cui le informazioni immesse
sono più sensibili, come numeri di carte di credito.
25. Bibliografia
Coding Horrors - Password Rules are Bullshit
Keeper - What the Most Common Passwords of 2016 List Reveals
Google - Verifica in Due Passaggi
Cisco - Uso delle Password
Dashlane | 1Password | KeePass