Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Gestione Password

Seminario tenuto nell'ambito dell'evento "Sicurezza in Rete - Tecniche ed 'Internet-ional' Law". Università di Foggia, Dipartimento di Giurisprudenza.

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to comment

Gestione Password

  1. 1. La gestione delle password Foggia, 5 marzo 2013 Danilo De Rogatis
  2. 2. # whoami Laurea in Informatica e Master in Sicurezza Informatica ed Investigazioni Digitali Responsabile Area Sistemi Informativi ed Innovazione Tecnologica dell’Università di Foggia OSSTMM Professional Security Tester Certified Docente in corsi mirati alla sicurezza informatica Ho fatto parte del Team di Sicurezza del G8 Summit 2009 che si è svolto in Abruzzo nel 2009 Security Evangelist & Infosec maniac :-) Autore di articoli sulla Sicurezza Informatica per HTML.IT: http://www.html.it/autore/daniloderogatis Clusit Member, IEEE Senior Member Foggia, 5 marzo 2013 2 Danilo De Rogatis
  3. 3. Obiettivi del talk Fornirvi un quadro generale dei problemi legati ai meccanismi di autenticazione, con particolare riferimento alle password. Fornirvi dei consigli per gestire le vostre password in modo più consapevole e sicuro. In generale, accrescere la vostra consapevolezza sui rischi legati ad una cattiva gestione delle password. Foggia, 5 marzo 2013 3 Danilo De Rogatis
  4. 4. AAALa gestione delle password fa parte di un sistema più generale denominatoAAA e composto da tre fasi (le 3 “A”):Authentication - Gli utenti e gli amministratori devono dimostrare chi sono.Lautenticazione può essere stabilita tramite combinazioni di username epassword, domande di challenge (sfida), token, e altri metodi.Authorization - Dopo che lutente è stato autenticato, i servizi diautorizzazione individuano le risorse a cui lutente può accedere e qualioperazioni lutente è autorizzato a svolgere.Accounting and auditing (tracciabilità) – Vengono registrate le azionieseguite dagli utenti: a quali risorse si è potuto accedere, la quantità di tempotrascorsa su queste risorse, e le eventuali modifiche apportate. Foggia, 5 marzo 2013 4 Danilo De Rogatis
  5. 5. Concentriamoci sullAutenticazionePuò essere effettuata con diversi metodi, in generale il paradigma di riferimento è: • Qualcosa che so • Qualcosa che ho • Qualcosa che sonoAd esempio posso avere unautenticazione a più fattori:Qualcosa che so: passwordQualcosa che ho: una One Time Password generata da un device (es. securitytoken come quello che ci forniscono le banche)Qualcosa che sono: biometria (impronta digitale, riconoscimento retina, etc.)Oltre allo username ovviamente. Foggia, 5 marzo 2013 5 Danilo De Rogatis
  6. 6. Obblighi di LeggeD.Lgs. 196/2003 – Allegato B: Disciplinare tecnico in misure minime di sicurezza(Artt. da 33 a 36)prevede che:- il trattamento dei dati personali con strumenti elettronici venga effettuato mediantecredenziali di autenticazione: userid/password o dispositivo di autenticazione inpossesso e uso esclusivo dellincaricato, eventualmente associato a un codiceidentificativo o a una parola chiave, oppure in una caratteristica biometricadellincaricato, eventualmente associata a un codice identificativo o a una parolachiave;- parola chiave composta da almeno otto caratteri;- modificata almeno ogni 6 mesi (3 mesi per dati sensibili e giudiziari);- non riutilizzabile;- disattivata in caso di non utilizzo per almeno 6 mesi o in caso difurto/smarrimento/violazione etc.Decreto “Amministratori di Sistema” (27/11/2008 mod. 25/6/2009) Foggia, 5 marzo 2013 6 Danilo De Rogatis
  7. 7. Standard di riferimentoIn principio era la BS 7799:2: conteneva Linee Guida e Standard per la Gestionedella Sicurezza delle Informazioni (SGSI).Le linee guida sono state recepite dallISO come ISO 17799 (InformationTechnology -Security Techniques - Code of practice for information securitymanagement), mentre lo standard vero e proprio è è stato emesso come ISO27001:2006.Nel 2002 poi anche la norma 27001 è stata sostiutiuta dalla ISO27002:2007Altri standard di di riferimento:PCI-DSS (Payment Card Industry – Data Security Standard)RFC 972 (Password Generator Protocol)...e molti altri... Foggia, 5 marzo 2013 7 Danilo De Rogatis
  8. 8. I problemi legati alla gestione delle password Come scegliere le password? Come memorizzarle? Quanto devono essere lunghe? Quanto devono essere complesse? Ogni quanto tempo bisogna cambiarle? Posso riutilizzarle? Come proteggere le mie password? Le password sono violabili? Foggia, 5 marzo 2013 8 Danilo De Rogatis
  9. 9. I “falsi miti” legati alle password...“Eh, ma basta una password qualsiasi di almeno 6 caratteri...”“Beh, sai, io non ho nulla da nascondere...in ufficio le mie passwordle conoscono tutti...”“Ho lasciato la password di default...a chi vuoi che interessi ilcontenuto del mio PC o della mia casella di posta elettronica...”“Anche se mi rubano la password di posta elettronica non faniente...non cè nulla di compromettente nei miei messaggi..”“Non riesco a ricordare molte password, allora per non scrivermeleuso la stessa per tutto...” Foggia, 5 marzo 2013 9 Danilo De Rogatis
  10. 10. Norton Cybercrime Report 2012 Foggia, 5 marzo 2013 10 Danilo De Rogatis
  11. 11. Norton Cybercrime Report 2012 Foggia, 5 marzo 2013 11 Danilo De Rogatis
  12. 12. Facciamo un piccolo test...Alzi la mano chi usa almeno una password più corta di 6 caratteri Foggia, 5 marzo 2013 12 Danilo De Rogatis
  13. 13. Facciamo un piccolo test...Alzi la mano chi usa la stessa password per almeno due tra le seguenti applicazioni: caselle e-mail, Facebook, Linkedin, Twitter, Dropbox e così via ... Foggia, 5 marzo 2013 13 Danilo De Rogatis
  14. 14. Facciamo un piccolo test... password Passw0rdAlzi la mano chi usa come Password1password: 123456- La propria data di nascita o 1234567quella di moglie/fidanzata/figli qwerty- Il nome dellanimale preferito abc123 pippo- Una delle password listate qui a 696969fianco (Linkedin disclosure) 123123 111111 … Foggia, 5 marzo 2013 14 Danilo De Rogatis
  15. 15. Quante mani alzate?Poche: o siete timidi o siete furbi (o tutte due...)Abbastanza: siete stati onestiMolte: “Houston, abbiamo un problema...!” :) Foggia, 5 marzo 2013 15 Danilo De Rogatis
  16. 16. “Oh My God!!” “Caspita...domattina devo assolutamente ricordarmi di cambiare le password!!” Foggia, 5 marzo 2013 16 Danilo De Rogatis
  17. 17. Limportanza di scegliere “buone” password La password è ancora il Santo Graal delle informazioni! Il “Key Factor” è ancora la sua lunghezza, più che la sua complessità. Ad esempio, quale delle due password seguenti ritenete sia più “sicura”? D0g..................... PrXyc.N(n4k77#L!eVdAfp9 Foggia, 5 marzo 2013 17 Danilo De Rogatis
  18. 18. Limportanza di scegliere “buone” password Probabilmente avete risposto la seconda... :-D In realtà è la primaPer individuare la prima password con un attacco brute-force è necessarioun tempo di esecuzione 95 volte più lungo rispetto alla seconda.E se usiamo un attacco a dizionario? Non potrebbe essere presente neldizionario?Certamente, ma è estremamente improbabile che un dizionario contengaquesto tipo di password.Ricordiamoci che un attacker non ha alcuna informazione sul tipo dipassword, sulla sua lunghezza, sul set di caratteri usati: in sostanzalavora “alla cieca”. Foggia, 5 marzo 2013 18 Danilo De Rogatis
  19. 19. Le password possono essere violate Esistono diversi metodi: Password guessing Shoulder Surfing Sniffing On-line attack Off-line attack Foggia, 5 marzo 2013 19 Danilo De Rogatis
  20. 20. Le password possono essere violate...e svariati software: John the Ripper Hydra Cain & Abel Brutus Ophcrack Etc. etc... Foggia, 5 marzo 2013 20 Danilo De Rogatis
  21. 21. Attacchi a dizionarioE un attacco basato sullutilizzo di wordlist(dizionari) generate appositamente, disponibilianche liberamente in rete.Il set di caratteri utilizzato per costruire la wordlist èfondamentale (alfanumerici, caratteri speciali,maiuscole/minuscole, etc.).Più il dizionario è “calzante” (ad es. come linguautilizzata) rispetto al servizio che si vuoleattaccare, più lattacco ha migliori probabilità disuccesso. Foggia, 5 marzo 2013 21 Danilo De Rogatis
  22. 22. Rainbow tablesPer violare le password criptate (es. MD5, SHA1,etc.) devo:- criptare le password del mio dizionario- confrontarle con quella da “crackare”Finchè non trovo la password che “matcha”Problema: perderei molto tempo.Soluzione: utilizzare database detti rainbow tablescontenenti coppie del tipo <password in chiaro,password criptata>, confrontando direttamente lepassword criptate. Foggia, 5 marzo 2013 22 Danilo De Rogatis
  23. 23. Consigli e best practicesRicordate che per violare una password di 5 caratteri senza numeri,lettere maiuscole e caratteri speciali ci vuole meno di 1 minuto. Per6 caratteri bastano 50 minuti.Evitiamo password uguali allo username, nomi e date di nascita dei figli,nome del cane, della fidanzata, della squadra del cuore, parole deldizionario (incluse le parolacce) e in genere qualsiasi informazione chepossa essere facilmente ricavata anche dai social networks o daimotori di ricerca...Cambiamo le password ogni 60/90 giorni.Non condividiamole con altri utenti.Usiamo password almeno di 10-12 caratteri, con almeno 1 numero, unalettera maiuscola e 1 carattere speciale (es.|!%&@*§^ etc.). Più lunghe ecomplesse sono, meglio è. Con una password di 10 caratteri, contenentenumeri, lettere e caratteri speciali, sono a posto per circa 21 milioni dianni ma...... Foggia, 5 marzo 2013 23 Danilo De Rogatis
  24. 24. Ma... ...sempre se non me la scrivo su un Post-it™ (e magari lo appiccico al monitor) !! Foggia, 5 marzo 2013 24 Danilo De Rogatis
  25. 25. Un sito utile https://www.grc.com/haystack.htm Foggia, 5 marzo 2013 25 Danilo De Rogatis
  26. 26. These slides are written by Danilo De Rogatis and are subjected to Creative Commons Attribution-ShareAlike 3.0Unported (CC BY-SA 3.0). You are free to copy, distribute, transmit, adapt, sell the work under the following conditions:Attribution - You must cite the Author. Share Alike — If you alter, transform, or build upon this work, you may distributethe resulting work only under the same or similar license to this one.e Grazie per lattenzione! http://www.linkedin.com/in/daniloderogatis @DaniloDeRogatis dderog@gmail.com http://www.html.it/autore/daniloderogatis https://www.facebook.com/danilo.derogatis Foggia, 5 marzo 2013 26 Danilo De Rogatis

×