133 lines
3.9 KiB
Markdown
133 lines
3.9 KiB
Markdown
|
<!-- .slide:
|
||
|
data-background="https://ak7.picdn.net/shutterstock/videos/25863227/thumb/5.jpg"
|
||
|
--> <br/><br/>
|
||
|
|
||
|
# Password
|
||
|
|
||
|
--
|
||
|
|
||
|
Le password sono la prima barriera di accesso a dati che vogliamo tenere
|
||
|
per noi.
|
||
|
|
||
|
|
||
|
Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare nel
|
||
|
computer e nei mille servizi digitali a cui accediamo.
|
||
|
|
||
|
--
|
||
|
|
||
|
### Ma... Non siamo bravi a scegliere delle buone password
|
||
|
|
||
|
- <!-- .element: class="fragment" --> E' la password di gmail? <span>➜
|
||
|
ci mettiamo `gmail` <!-- .element: class="red" --> in mezzo</span> <!--
|
||
|
.element: class="fragment" -->
|
||
|
- <!-- .element: class="fragment" --> Usiamo concetti ricordabili <span>➜
|
||
|
date di nascita, nomi di amic\*/compagn\*</span> <!-- .element: class="fragment" -->
|
||
|
- <!-- .element: class="fragment" --> Riusiamo la stessa password in
|
||
|
molti posti.
|
||
|
|
||
|
<br/> In pratica scegliamo password facilmente indovinabili. <!--
|
||
|
.element: class="fragment" -->
|
||
|
|
||
|
--
|
||
|
|
||
|
Spinti a migliorare le nostre password
|
||
|
|
||
|
![img/passhint.png](./img/password-requisiti.png)
|
||
|
|
||
|
--
|
||
|
|
||
|
scegliamo le soluzioni piu' semplici e prevedibili
|
||
|
- <!-- .element: class="fragment" --> e' la password di facebook ➜
|
||
|
**facebookpassword**
|
||
|
- <!-- .element: class="fragment" --> inserisci almeno una maiuscola ➜
|
||
|
**Facebookpassword**
|
||
|
- <!-- .element: class="fragment" --> inserisci almeno un numero ➜
|
||
|
**Facebookpassword1**
|
||
|
- <!-- .element: class="fragment" --> inserisci almeno un simbolo ➜
|
||
|
**Facebookpassword1!**
|
||
|
|
||
|
notes: Sono tutti schemi facilmente immaginabili.
|
||
|
|
||
|
--
|
||
|
|
||
|
### Ma soprattutto..
|
||
|
|
||
|
Usiamo la stessa password per più siti/servizi
|
||
|
|
||
|
![scimmia](./img/scimmia.jpg) <!-- .element: class="fragment" --> notes:
|
||
|
chiedere perche' e' un problema....
|
||
|
|
||
|
--
|
||
|
|
||
|
### Orrore!
|
||
|
|
||
|
<!-- .element: class="fragment" --> i dipendenti di ogni servizio hanno
|
||
|
accesso ad ogni altro servizio!
|
||
|
|
||
|
<!-- .element: class="fragment" --> quando (non se) uno dei servizi viene
|
||
|
bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno
|
||
|
si e l'altro pure).
|
||
|
|
||
|
<!-- .element: class="fragment" --> E' talmente diffusa la cosa che mozilla
|
||
|
ha un servizio per fare un check ➜
|
||
|
[monitor.firefox.com](https://monitor.firefox.com)
|
||
|
|
||
|
--
|
||
|
|
||
|
### Leak
|
||
|
|
||
|
Negli ultimi anni sono stati bucati tanti servizi e milioni di password
|
||
|
sono diventate pubbliche (leak) permettendo di farci ricerca sopra e si, le
|
||
|
password piu' usate sono `123456` e `password`, gli schemi usati sono
|
||
|
drammaticamente ricorrenti e la maggior parte delle persone riusa le
|
||
|
password in piu' servizi.
|
||
|
|
||
|
Una lista di servizi la cui compromissione è pubblica è
|
||
|
[qui](https://haveibeenpwned.com/PwnedWebsites). Un posto dove poter
|
||
|
studiare le statistiche
|
||
|
|
||
|
--
|
||
|
|
||
|
### Password Cracking
|
||
|
|
||
|
Esistono programmi e servizi che tentano ripetutamente password basandosi
|
||
|
sulla nostra prevedibilità e si basano comunemente su dizionari a cui
|
||
|
vengono applicate delle regole (permutazioni, aggiunte di
|
||
|
prefissi/suffissi, cambio di caratteri comuni, maiuscole/minuscole).
|
||
|
|
||
|
Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc
|
||
|
prendendo tutto il material digitale del target. notes: Mostrare un
|
||
|
piccolo esempio di `hashcat` (da preparare)
|
||
|
|
||
|
--
|
||
|
|
||
|
### E quindi?
|
||
|
|
||
|
Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo.
|
||
|
|
||
|
--
|
||
|
|
||
|
### Password manager
|
||
|
|
||
|
Usiamo i password manager.
|
||
|
|
||
|
Sono dei programmi che generano e si ricordano delle password sicure, in
|
||
|
cambio di una sola master password (passphrase).
|
||
|
|
||
|
notes: spiegare master password, che e' possibile fare piu' liste di
|
||
|
password, suggerire buone pratiche.
|
||
|
|
||
|
--
|
||
|
|
||
|
### E la master password? Per le poche passphrase che non possiamo salvare
|
||
|
usiamo i seguenti accorgimenti:
|
||
|
|
||
|
- mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce)
|
||
|
- mai condividere una passphrase (no no no e no)
|
||
|
- mai scrivere una passphrase (a parte se sai quello che stai facendo)
|
||
|
- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra
|
||
|
per ricordarle.
|
||
|
|
||
|
notes: il `4` del primo punto e' un numero a caso. esempio live di scelta
|
||
|
passphrase.
|