SlideShare une entreprise Scribd logo

Social Media Web & Smart Apps

Télécharger en tant que PPTX, PDF
F
Federico Longhin

Social Media Web & Smart Apps

Médias sociaux
1  sur  25
Passwords in the Modern Era Francesco Gemin Federico Longhin Vladymir Tarquini
Cos’è una Password? Una password è una stringa più o meno lunga di caratteri usata per verificare l’identità di un utente. Utilizzate fin dai tempi antichi e conosciute da pochi furono lo strumento prediletto per restringere l’accesso a determinati luoghi da parte di coloro la cui presenza non era gradita. Nell’era moderna sono solite essere accoppiate con un username univoco o un indirizzo di posta elettronica.
Crittografia Sicurezza Garantita
La tua Password è protetta? La pratica e lo studio di tecniche per la messa in sicurezza di una comunicazione in presenza di terze parti avversarie è detta crittografia. Questa scienza basata su teoremi matematici era in passato usata per convertire un’informazione da pubblica a privata rendendola illeggibile ai più. Viene oggi pesantemente basata su pratiche informatiche per cui gli algoritmi divengono altamente difficili da infrangere da parte di un avversario.
Algoritmi e Password? Attraverso gli algoritmi di crittografia si garantisce la confidenzialità dei dati e l’individualità dell’utente. La maggior parte degli algoritmi in questione non è reversibile, bensì, per controllare la propria identità si utilizzano meccanismi di hashing attraverso i quali è possibile confrontare due stringhe crittografate, se uguali, si è l’utente che si dice di essere.
Una Password è quindi sempre sicura? Se gli algoritmi di crittografia ci garantiscono la sicurezza che la nostra password sia protetta, qualsiasi combinazione di caratteri usata può considerarsi corretta. Esistono però delle regole che la maggior parte dei provider impone ai propri utenti durante il processo di creazione di un account e la conseguente immissione della password nel terminale di registrazione. Perché? Beh… L’utente medio, la maggior parte delle volte per ignoranza, ripone troppa fiducia in questi algoritmi.
Password & Regole
Regole comuni Sempre più spesso, ogni qualvolta si desideri registrare un account viene richiesto di seguire delle regole molto restrittive quando si inizia a digitare la propria password. Questa pratica porta, solitamente, alla frustrazione dell’utente stesso che cercherà di aggirare il blocco attraverso stratagemmi controproducenti alla sua sicurezza.
Unicode Horrors Questa password di quattro caratteri: ✅🐎🔋 In un terminale unicode risulta: ******** Questa password di otto caratteri: 正确马电池订书钉 In un terminale unicode risulta: ******** Possiamo notare come una password relativamente semplice “✅🐎🔋 ” può essere considerata dal sistema come complessa e quindi accettabile. In un mondo diviso tra unicode ed emoji, regole che controllano: uppercase, lowercase, presenza di numeri e presenza di simboli divengono inutili.
Lunghezza != Sicurezza Questa tipologia di regole porta anche alla disinformazione digitale, l’utente medio, andrà a legare intrinsecamente il concetto di lunghezza con il concetto di sicurezza. Come è possibile osservare dall’esempio, password lunghe non sono sempre sicure, bensì, possono diventare anche le più insicure possibili.
Password Horrors Si può denotare l’inefficacia delle regole tuttora presenti nei terminali di registrazione dalla lista delle 25 password più utilizzate nel 2016. Queste password potrebbero essere tutte rimosse sottoponendole ad un controllo della lunghezza per un totale di caratteri superiore a 10, ma nulla impedirebbe all’utente di copiare la medesima password due volte, facilmente superando questa regola.
Conclusioni 1. Le regole per le password sono troppo complesse e controproducenti. 2. E’ necessario creare una regola completamente unicode la cui lunghezza superi quella delle password più comuni. 3. E’ necessario controllare la presenza nella stringa delle password più comuni. 4. E’ necessario un controllo di entropia di base per evitare password come “aaaaaaaaaaaaaaaaaaa” o “0123456789012345689”. 5. E’ necessario controllare la presenza nella stringa di casistiche particolari, come una password uguale al proprio nome utente o all’indirizzo del sito.
Password Vault
Applicativi in aiuto della memoria Nonostante sia l’opzione consigliata, tenere a mente svariate password differenti e complesse per ogni portale a cui si è iscritti può diventare estremamente difficile. In aiuto dell’utente sono stati creati vari applicativi per la memorizzazione delle chiavi attraverso algoritmi di crittografia, in modo da garantire la privacy all’interno del device prescelto. La scelta di un applicativo rispetto ad un file TXT o simili è necessaria, in quanto, nel caso in cui si vada a perdere il supporto fisico sul quale si è deciso di tenere traccia delle proprie chiavi di sicurezza, se il ladro non conosce la Master Password non ha modo di accedere ai dati presenti al suo interno.
Dashlane Disponibile per i sistemi operativi di maggioranza, Dashlane è un software Freemium che permette il salvataggio di password. Funzionalità Caratteristiche Autocompilazione Avvisi di sicurezza immediati Refresh automatico delle password Master password Integrazione con Google Authenticator Algoritmo di cifratura pubblico
1Password Disponibile per i sistemi operativi di maggioranza, 1Password è un software Freemium che permette il salvataggio di password. Funzionalità Caratteristiche Autocompilazione Estensione per browser Utilizzo di WebCrypto Master password Backup su Cloud Algoritmo di cifratura pubblico
KeePass Disponibile per i sistemi operativi di maggioranza, Keepass è un software Open Source che permette il salvataggio di password. Funzionalità Caratteristiche Database facilmente importabili ed esportabili in vari formati Presenza di plugin aggiuntivi Open Source Molteplici master password Generatore di password Algoritmo di cifratura pubblico
Mantenersi Protetti
Verifica in Due Passaggi Una Sicurezza Ulteriore
Cos’è? La verifica in due passaggi è un metodo di autenticazione che si basa sull’utilizzo congiunto di due metodi di autenticazione individuale. Alla fase di login viene richiesto il proprio nome utente, la propria password e un ulteriore chiave, solitamente sotto forma di codice numerico, fornita da un dispositivo fisico di varia natura in possesso dell’utente.
Perché esiste e a cosa serve?
Sondaggio Survey Results
Obiettivo del Sondaggio L’obiettivo del sondaggio in questione era quello di capire quanto gli utenti al giorno d’oggi fossero informati sulle buone pratiche per mantenere una password sicura e quanto le mettessero in pratica. Dai risultati, visibili online, è emerso che la maggior parte dell’utenza cambia le proprie password raramente o mai non facendo uso di un software per la loro memorizzazione. E’ stato ulteriormente individuato che l’85% conosca informazioni a riguardo i criteri di complessità delle password e la maggior parte di loro è d’accordo che siano utili.
Fortuna o crittografia? Nonostante la maggior parte dei risultati porti ad una visione disfattista della sicurezza degli utenti che hanno risposto al sondaggio, solo il 25% ha subito un furto di account e tutti sono riusciti a recuperare la propria password con successo in caso di smarrimento. Questo porta a dedurre l’efficienza degli algoritmi di crittografia utilizzati nel mondo moderno e la semplicità con cui è possibile recuperare la propria password se smarrita. La maggior parte degli utenti conosce l’esistenza della verifica in due passaggi, la utilizza, ma solo in casi specifici, probabilmente in siti in cui le informazioni immesse sono più sensibili, come numeri di carte di credito.
Bibliografia Coding Horrors - Password Rules are Bullshit Keeper - What the Most Common Passwords of 2016 List Reveals Google - Verifica in Due Passaggi Cisco - Uso delle Password Dashlane | 1Password | KeePass

Recommandé

2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...Fabio Pietrosanti
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel webgmorelli78
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
Syllabus it security
Syllabus it securitySyllabus it security
Syllabus it securityPietro Latino
 
Cyber Security Awareness per Manager
Cyber Security Awareness per ManagerCyber Security Awareness per Manager
Cyber Security Awareness per ManagerLivia Francesca Caruso
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Progressive Web Apps
Progressive Web AppsProgressive Web Apps
Progressive Web AppsLuca Fortin
 

Recommandé

2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...
2006: Infosecurity Italy: Tecnologie di Firma Digitale e Tutela della Riserva...Fabio Pietrosanti
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel webgmorelli78
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
Syllabus it security
Syllabus it securitySyllabus it security
Syllabus it securityPietro Latino
 
Cyber Security Awareness per Manager
Cyber Security Awareness per ManagerCyber Security Awareness per Manager
Cyber Security Awareness per ManagerLivia Francesca Caruso
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Progressive Web Apps
Progressive Web AppsProgressive Web Apps
Progressive Web AppsLuca Fortin
 
Sei gradi di separazione
Sei gradi di separazioneSei gradi di separazione
Sei gradi di separazioneluckyunlock
 
Big Data
Big DataBig Data
Big DataDataPress
 
Big data
Big dataBig data
Big datastud ente
 
Open Data
Open DataOpen Data
Open DataDomenico Parisi
 
Cloud computing
Cloud computingCloud computing
Cloud computingGerard Baholli
 
Social media
Social mediaSocial media
Social mediaMarco Carfizzi
 
OpenData_CollectiveKnowledge
OpenData_CollectiveKnowledge OpenData_CollectiveKnowledge
OpenData_CollectiveKnowledge Filippo Ormitti
 
Personal branding
Personal brandingPersonal branding
Personal brandingDiana Mancigotti
 
Smart life
Smart lifeSmart life
Smart lifeTonand
 
Data driven storytelling
Data driven storytellingData driven storytelling
Data driven storytellingAndrea Missiato
 
Multimedia streaming e content curation
Multimedia streaming e content curationMultimedia streaming e content curation
Multimedia streaming e content curationRoberto Perissa
 
Petra Giada
Petra GiadaPetra Giada
Petra GiadaPetraJPG
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingRoberto Martin
 
Sell&Buy coupons
Sell&Buy couponsSell&Buy coupons
Sell&Buy couponsJashari Fatnor
 
SMSA - Cloud Computing
SMSA - Cloud ComputingSMSA - Cloud Computing
SMSA - Cloud ComputingFabio Dainese
 
Personal branding
Personal brandingPersonal branding
Personal brandingGiacomo Chiarot
 
Fablab - Innovazione del lavoro
Fablab - Innovazione del lavoroFablab - Innovazione del lavoro
Fablab - Innovazione del lavoroDanilo Macchion
 
La sicurezza dei dati su fb
La sicurezza dei dati su fb La sicurezza dei dati su fb
La sicurezza dei dati su fb Luca Pernini
 
Social Media Presentation 2017
Social Media Presentation 2017Social Media Presentation 2017
Social Media Presentation 2017Nikita Baldan
 
Istantaneità nell'era dei Social Media
Istantaneità nell'era dei Social MediaIstantaneità nell'era dei Social Media
Istantaneità nell'era dei Social MediaSimone Scaboro
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 

Contenu connexe

En vedette

Sei gradi di separazione
Sei gradi di separazioneSei gradi di separazione
Sei gradi di separazioneluckyunlock
 
OpenData_CollectiveKnowledge
OpenData_CollectiveKnowledge OpenData_CollectiveKnowledge
OpenData_CollectiveKnowledge Filippo Ormitti
 
Smart life
Smart lifeSmart life
Smart lifeTonand
 
Data driven storytelling
Data driven storytellingData driven storytelling
Data driven storytellingAndrea Missiato
 
Multimedia streaming e content curation
Multimedia streaming e content curationMultimedia streaming e content curation
Multimedia streaming e content curationRoberto Perissa
 
Petra Giada
Petra GiadaPetra Giada
Petra GiadaPetraJPG
 
SMSA - Cloud Computing
SMSA - Cloud ComputingSMSA - Cloud Computing
SMSA - Cloud ComputingFabio Dainese
 
Fablab - Innovazione del lavoro
Fablab - Innovazione del lavoroFablab - Innovazione del lavoro
Fablab - Innovazione del lavoroDanilo Macchion
 
La sicurezza dei dati su fb
La sicurezza dei dati su fb La sicurezza dei dati su fb
La sicurezza dei dati su fb Luca Pernini
 
Social Media Presentation 2017
Social Media Presentation 2017Social Media Presentation 2017
Social Media Presentation 2017Nikita Baldan
 
Istantaneità nell'era dei Social Media
Istantaneità nell'era dei Social MediaIstantaneità nell'era dei Social Media
Istantaneità nell'era dei Social MediaSimone Scaboro
 

En vedette (20)

Sei gradi di separazione
Sei gradi di separazioneSei gradi di separazione
Sei gradi di separazione
 
Big Data
Big DataBig Data
Big Data
 
Big data
Big dataBig data
Big data
 
Open Data
Open DataOpen Data
Open Data
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Social media
Social mediaSocial media
Social media
 
OpenData_CollectiveKnowledge
OpenData_CollectiveKnowledge OpenData_CollectiveKnowledge
OpenData_CollectiveKnowledge
 
Personal branding
Personal brandingPersonal branding
Personal branding
 
Smart life
Smart lifeSmart life
Smart life
 
Data driven storytelling
Data driven storytellingData driven storytelling
Data driven storytelling
 
Multimedia streaming e content curation
Multimedia streaming e content curationMultimedia streaming e content curation
Multimedia streaming e content curation
 
Petra Giada
Petra GiadaPetra Giada
Petra Giada
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Sell&Buy coupons
Sell&Buy couponsSell&Buy coupons
Sell&Buy coupons
 
SMSA - Cloud Computing
SMSA - Cloud ComputingSMSA - Cloud Computing
SMSA - Cloud Computing
 
Personal branding
Personal brandingPersonal branding
Personal branding
 
Fablab - Innovazione del lavoro
Fablab - Innovazione del lavoroFablab - Innovazione del lavoro
Fablab - Innovazione del lavoro
 
La sicurezza dei dati su fb
La sicurezza dei dati su fb La sicurezza dei dati su fb
La sicurezza dei dati su fb
 
Social Media Presentation 2017
Social Media Presentation 2017Social Media Presentation 2017
Social Media Presentation 2017
 
Istantaneità nell'era dei Social Media
Istantaneità nell'era dei Social MediaIstantaneità nell'era dei Social Media
Istantaneità nell'era dei Social Media
 

Similaire à Social Media Web & Smart Apps

Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Come Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdfCome Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdfHelpRansomware
 
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015Domenico Barile
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaCSI Piemonte
 
Come Recuperare File Crittografati Da Diversi Dispositivi [2022].pdf
Come Recuperare File Crittografati Da Diversi Dispositivi [2022].pdfCome Recuperare File Crittografati Da Diversi Dispositivi [2022].pdf
Come Recuperare File Crittografati Da Diversi Dispositivi [2022].pdfHelpRansomware
 
Sicurezza Delle Reti
Sicurezza Delle RetiSicurezza Delle Reti
Sicurezza Delle Retimariolotto89
 
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiVincenzo Calabrò
 
Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischioMario Mancini
 
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of TrustIl Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of TrustSimone Onofri
 
Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma DigitaleMario Varini
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 

Similaire à Social Media Web & Smart Apps (20)

Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Crittografia
CrittografiaCrittografia
Crittografia
 
Come Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdfCome Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdf
 
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
 
Hp Secure Mail
Hp Secure MailHp Secure Mail
Hp Secure Mail
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologia
 
Come Recuperare File Crittografati Da Diversi Dispositivi [2022].pdf
Come Recuperare File Crittografati Da Diversi Dispositivi [2022].pdfCome Recuperare File Crittografati Da Diversi Dispositivi [2022].pdf
Come Recuperare File Crittografati Da Diversi Dispositivi [2022].pdf
 
Modulo 1 - Lezione 4
Modulo 1 - Lezione 4Modulo 1 - Lezione 4
Modulo 1 - Lezione 4
 
Sicurezza Delle Reti
Sicurezza Delle RetiSicurezza Delle Reti
Sicurezza Delle Reti
 
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e Reti
 
Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischio
 
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of TrustIl Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
Il Web del Futuro: Web Semantico + OpenID = Autenticazione Sicura e Web of Trust
 
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
 
Paranoia is a virtue
Paranoia is a virtueParanoia is a virtue
Paranoia is a virtue
 
Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma Digitale
 
Penelope
PenelopePenelope
Penelope
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 
Open Security
Open SecurityOpen Security
Open Security
 

Social Media Web & Smart Apps

  • 1. Passwords in the Modern Era Francesco Gemin Federico Longhin Vladymir Tarquini
  • 2. Cos’è una Password? Una password è una stringa più o meno lunga di caratteri usata per verificare l’identità di un utente. Utilizzate fin dai tempi antichi e conosciute da pochi furono lo strumento prediletto per restringere l’accesso a determinati luoghi da parte di coloro la cui presenza non era gradita. Nell’era moderna sono solite essere accoppiate con un username univoco o un indirizzo di posta elettronica.
  • 4. La tua Password è protetta? La pratica e lo studio di tecniche per la messa in sicurezza di una comunicazione in presenza di terze parti avversarie è detta crittografia. Questa scienza basata su teoremi matematici era in passato usata per convertire un’informazione da pubblica a privata rendendola illeggibile ai più. Viene oggi pesantemente basata su pratiche informatiche per cui gli algoritmi divengono altamente difficili da infrangere da parte di un avversario.
  • 5. Algoritmi e Password? Attraverso gli algoritmi di crittografia si garantisce la confidenzialità dei dati e l’individualità dell’utente. La maggior parte degli algoritmi in questione non è reversibile, bensì, per controllare la propria identità si utilizzano meccanismi di hashing attraverso i quali è possibile confrontare due stringhe crittografate, se uguali, si è l’utente che si dice di essere.
  • 6. Una Password è quindi sempre sicura? Se gli algoritmi di crittografia ci garantiscono la sicurezza che la nostra password sia protetta, qualsiasi combinazione di caratteri usata può considerarsi corretta. Esistono però delle regole che la maggior parte dei provider impone ai propri utenti durante il processo di creazione di un account e la conseguente immissione della password nel terminale di registrazione. Perché? Beh… L’utente medio, la maggior parte delle volte per ignoranza, ripone troppa fiducia in questi algoritmi.
  • 8. Regole comuni Sempre più spesso, ogni qualvolta si desideri registrare un account viene richiesto di seguire delle regole molto restrittive quando si inizia a digitare la propria password. Questa pratica porta, solitamente, alla frustrazione dell’utente stesso che cercherà di aggirare il blocco attraverso stratagemmi controproducenti alla sua sicurezza.
  • 9. Unicode Horrors Questa password di quattro caratteri: ✅🐎🔋 In un terminale unicode risulta: ******** Questa password di otto caratteri: 正确马电池订书钉 In un terminale unicode risulta: ******** Possiamo notare come una password relativamente semplice “✅🐎🔋 ” può essere considerata dal sistema come complessa e quindi accettabile. In un mondo diviso tra unicode ed emoji, regole che controllano: uppercase, lowercase, presenza di numeri e presenza di simboli divengono inutili.
  • 10. Lunghezza != Sicurezza Questa tipologia di regole porta anche alla disinformazione digitale, l’utente medio, andrà a legare intrinsecamente il concetto di lunghezza con il concetto di sicurezza. Come è possibile osservare dall’esempio, password lunghe non sono sempre sicure, bensì, possono diventare anche le più insicure possibili.
  • 11. Password Horrors Si può denotare l’inefficacia delle regole tuttora presenti nei terminali di registrazione dalla lista delle 25 password più utilizzate nel 2016. Queste password potrebbero essere tutte rimosse sottoponendole ad un controllo della lunghezza per un totale di caratteri superiore a 10, ma nulla impedirebbe all’utente di copiare la medesima password due volte, facilmente superando questa regola.
  • 12. Conclusioni 1. Le regole per le password sono troppo complesse e controproducenti. 2. E’ necessario creare una regola completamente unicode la cui lunghezza superi quella delle password più comuni. 3. E’ necessario controllare la presenza nella stringa delle password più comuni. 4. E’ necessario un controllo di entropia di base per evitare password come “aaaaaaaaaaaaaaaaaaa” o “0123456789012345689”. 5. E’ necessario controllare la presenza nella stringa di casistiche particolari, come una password uguale al proprio nome utente o all’indirizzo del sito.
  • 14. Applicativi in aiuto della memoria Nonostante sia l’opzione consigliata, tenere a mente svariate password differenti e complesse per ogni portale a cui si è iscritti può diventare estremamente difficile. In aiuto dell’utente sono stati creati vari applicativi per la memorizzazione delle chiavi attraverso algoritmi di crittografia, in modo da garantire la privacy all’interno del device prescelto. La scelta di un applicativo rispetto ad un file TXT o simili è necessaria, in quanto, nel caso in cui si vada a perdere il supporto fisico sul quale si è deciso di tenere traccia delle proprie chiavi di sicurezza, se il ladro non conosce la Master Password non ha modo di accedere ai dati presenti al suo interno.
  • 15. Dashlane Disponibile per i sistemi operativi di maggioranza, Dashlane è un software Freemium che permette il salvataggio di password. Funzionalità Caratteristiche Autocompilazione Avvisi di sicurezza immediati Refresh automatico delle password Master password Integrazione con Google Authenticator Algoritmo di cifratura pubblico
  • 16. 1Password Disponibile per i sistemi operativi di maggioranza, 1Password è un software Freemium che permette il salvataggio di password. Funzionalità Caratteristiche Autocompilazione Estensione per browser Utilizzo di WebCrypto Master password Backup su Cloud Algoritmo di cifratura pubblico
  • 17. KeePass Disponibile per i sistemi operativi di maggioranza, Keepass è un software Open Source che permette il salvataggio di password. Funzionalità Caratteristiche Database facilmente importabili ed esportabili in vari formati Presenza di plugin aggiuntivi Open Source Molteplici master password Generatore di password Algoritmo di cifratura pubblico
  • 19. Verifica in Due Passaggi Una Sicurezza Ulteriore
  • 20. Cos’è? La verifica in due passaggi è un metodo di autenticazione che si basa sull’utilizzo congiunto di due metodi di autenticazione individuale. Alla fase di login viene richiesto il proprio nome utente, la propria password e un ulteriore chiave, solitamente sotto forma di codice numerico, fornita da un dispositivo fisico di varia natura in possesso dell’utente.
  • 21. Perché esiste e a cosa serve?
  • 23. Obiettivo del Sondaggio L’obiettivo del sondaggio in questione era quello di capire quanto gli utenti al giorno d’oggi fossero informati sulle buone pratiche per mantenere una password sicura e quanto le mettessero in pratica. Dai risultati, visibili online, è emerso che la maggior parte dell’utenza cambia le proprie password raramente o mai non facendo uso di un software per la loro memorizzazione. E’ stato ulteriormente individuato che l’85% conosca informazioni a riguardo i criteri di complessità delle password e la maggior parte di loro è d’accordo che siano utili.
  • 24. Fortuna o crittografia? Nonostante la maggior parte dei risultati porti ad una visione disfattista della sicurezza degli utenti che hanno risposto al sondaggio, solo il 25% ha subito un furto di account e tutti sono riusciti a recuperare la propria password con successo in caso di smarrimento. Questo porta a dedurre l’efficienza degli algoritmi di crittografia utilizzati nel mondo moderno e la semplicità con cui è possibile recuperare la propria password se smarrita. La maggior parte degli utenti conosce l’esistenza della verifica in due passaggi, la utilizza, ma solo in casi specifici, probabilmente in siti in cui le informazioni immesse sono più sensibili, come numeri di carte di credito.
  • 25. Bibliografia Coding Horrors - Password Rules are Bullshit Keeper - What the Most Common Passwords of 2016 List Reveals Google - Verifica in Due Passaggi Cisco - Uso delle Password Dashlane | 1Password | KeePass