3.9 KiB
The basics: passwords
Le password sono la prima barriera di accesso a dati che vogliamo tenere per noi.
Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare nel computer e nei mille servizi digitali a cui accediamo.
--
Ma... Non siamo bravi a scegliere delle buone password
-
E' la password di gmail? ➜
ci mettiamo
gmail
in mezzo - Usiamo concetti ricordabili ➜ date di nascita, nomi di amic*/compagn*
- Riusiamo la stessa password in molti posti.
In pratica scegliamo password facilmente indovinabili.
--
Spinti a migliorare le nostre password
--
scegliamo le soluzioni piu' semplici e prevedibili
- e' la password di facebook ➜ facebookpassword
- inserisci almeno una maiuscola ➜ Facebookpassword
- inserisci almeno un numero ➜ Facebookpassword1
- inserisci almeno un simbolo ➜ Facebookpassword1!
notes: Sono tutti schemi facilmente immaginabili.
--
Ma soprattutto..
Usiamo la stessa password per più siti/servizi
notes: chiedere perche' e' un problema....
--
Orrore!
i dipendenti di ogni servizio hannoaccesso ad ogni altro servizio!
quando (non se) uno dei servizi vienebucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno si e l'altro pure).
E' talmente diffusa la cosa che mozillaha un servizio per fare un check ➜ monitor.firefox.com
--
Leak
Negli ultimi anni sono stati bucati tanti servizi e milioni di password
sono diventate pubbliche (leak) permettendo di farci ricerca sopra e si, le
password piu' usate sono 123456
e password
, gli schemi usati sono
drammaticamente ricorrenti e la maggior parte delle persone riusa le
password in piu' servizi.
Una lista di servizi la cui compromissione è pubblica è qui. Un posto dove poter studiare le statistiche
--
Password Cracking
Esistono programmi e servizi che tentano ripetutamente password basandosi sulla nostra prevedibilità e si basano comunemente su dizionari a cui vengono applicate delle regole (permutazioni, aggiunte di prefissi/suffissi, cambio di caratteri comuni, maiuscole/minuscole).
Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc
prendendo tutto il material digitale del target. notes: Mostrare un
piccolo esempio di hashcat
(da preparare)
--
E quindi?
Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo.
--
Password manager
Usiamo i password manager.
Sono dei programmi che generano e si ricordano delle password sicure, in cambio di una sola master password (passphrase).
notes: spiegare master password, che e' possibile fare piu' liste di password, suggerire buone pratiche.
--
E la master password? Per le poche passphrase che non possiamo salvare
usiamo i seguenti accorgimenti:
- mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce)
- mai condividere una passphrase (no no no e no)
- mai scrivere una passphrase (a parte se sai quello che stai facendo)
- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra per ricordarle.
notes: il 4
del primo punto e' un numero a caso. esempio live di scelta
passphrase.