Thekey.iT

  • Aumenta dimensione caratteri
  • Dimensione caratteri predefinita
  • Diminuisci dimensione caratteri
Home }}} Articoli }}} Hacking }}} Password forti in ufficio

Password forti in ufficio

E-mail Stampa
Valutazione attuale: / 3
ScarsoOttimo 

Sentiamo sempre parlare di password e di come queste debbano essere "forti" di come si debbano scegliere password che contengano lettere, numeri, e segni di interpunzione. Insomma una buona password deve essere difficile da indovinare, ma spesso difficile da indovinare significa anche difficile da ricordare... e quando una cosa è difficile da ricordare la si scrive da qualche parte, voi che ne dite?

Sign-in

Qualche tempo fa parlando con alcuni colleghi ed amici "sensibili" al problema delle password sono usciti delle argomentazioni interessanti,

  • la forza della password: vale veramente la pena applicare policy molto restrittive?
  • la quantità di password che oggi si usano per accedere a ennemila servizi e sistemi diversi
Password forti SI? o password forti NO?

Negli uffici spesso sono attive delle policy per la scelta delle password che impongono agli utenti delle password "forti", password che rispecchiando una serie di accorgimenti diventano complicate da indovinare. Le tipiche regole base che ho visto applicare in svariate aziende sono sempre le stesse:
  • Mischiare lettere maiuscole e minuscole
  • Usare numeri
  • Avere una lunghezza minima per la password (per poi scoprire che alcuni sistemi non sono compatibili perchè vecchi ma ancora in uso)
  • Avere uno storico password precedenti che impedisce di ripetere la stessa per un numero imprecisato di volte
  • Cambio obbligatorio della password ad intervalli regolari
  • etc... etc... etc... ci si puo sbizzarrire e ogni sistemista si inventa regole diverse per migliorare la resistenza delle password

Ovviamente con password di questo genere un attacco dovrebbe risultare più complesso, e su questo siamo tutti (o quasi) daccordo, ma bisogna dire che tipicamente ci si preoccupa di un attacco che proviene dall'esterno, cosa succede se l'attacco proviene dall'interno dell'azienda? da un collega per esempio? Di certo in questo caso l'attaccante parte con un forte vantaggio conoscendo il sistema e le politiche associate ad esso, ma con una password forte dovremmo essere tranquilli, oppure no?

Osservando il comportamento dei colleghi si può notare come molti di loro per ricordarsi le password le scrivono ovunque, dai post-it ai biglietti da visita, ai semplici pezzi di carta, c'è poi chi è più ordinato e le password le scrive per bene a PC e poi stampa il foglietto da appiccicare al monitor. Vi viene in mente nulla? Pensate ad un collega che volesse accedere con le utenze di un collega, gli basterebbe guardare sulla scrivania del collega e trovare tutto quello che gli serve. A quel punto non basta la password più complessa del mondo per proteggere gli accessi.

A qualche collega ho fatto notare questa cosa, e sapete la risposta? - Ma come faccio a ricordare tutte queste password, sono troppo complicate da tenere a mente e poi ogni mese mi tocca cambiarla, non faccio in tempo a memorizzarla che devo cambiarla di nuovo. - A tali parole non ho saputo controbattere, o meglio non ho voluto imbarcarmi in un discorso inutile e che non avrebbe portato a nulla.

Questo discorso può anche essere fatto sostituendo al collega una qualsiasi persona che puo accedere all'azienda, magari in un orario dove non ci sono dipendenti... vi viene in mente nulla? Nooo???? Pensate alle imprese di pulizie, oppure a tecnici che effettuano riparazioni od installazioni durante i giorni festivi in modo da non dare disservizi all'utenza... Pensateci... Chi ci assicura che tali figure siano perfettamente fidate?

Quante password per un uomo

Un altro fattore che di certo non aiuta a debellare la mania dei fogliettini con le password appese ai monitor è il numero di password necessarie oggi per vivere. Sembrerà una cosa strana ma provate a pensarci un attimo; di quante password fate uso quotidianamente? Parlo di quelle usate sul lavoro, ma anche quelle che usate per accedere alla vostra banca, alla vostra posta elettronica, oppure al vostro gioco preferito, e poi facebook, myspace... insomma per ognuno di noi esistono una badilata di password da ricordare.

Mettiamoci anche il fatto che non possiamo mica tenere la stessa password per tutto anche perchè difficilmente le policy dei vari sistemi ci permettono di avere password simili, vuoi perchè alcuni non vogliono numeri, vuoi perchè qualcuno non vuole caratteri strani, e poi per un sistema la lunghezza minima è 8 caratteri per un altro 6 per un altro ancora 10... insomma password diverse per forza di cose.

Neli uffici si sponsorizzano a caro prezzo sistemi di gestione centralizzata delle password, sistemi che personalmente non gradisco, sono più i problemi che generano che i benefici che se ne hanno per il prezzo (spesso altissimo) che si paga. Diciamo che penso siano degli ottimi programmi, ma solo per chi li vende, di certo non per chi deve usarli. Se poi ci aggiungiamo che l'operatore tipico avrà sempre il suo bel fogliettino appeso al monitor stiamo freschi.

Dove cercare le password dunque

Intanto che si parlava con gli amici è venuta fuori un'altra cosa, se è vero che tipicamente le password vengono scritte dove vengono poi nascoste? beh in generale da nessuna parte, ecco un elenco, rigorosamente in ordine casuale, di luoghi dove io o amici informatici abbiamo visto mettere i foglietti con le credenziali (in corsivo i commenti):

  • Appesi al monitor (direi classico, credo sia la posizione più diffusa)
  • Dentro la cassettiera, che il 90% delle volte è aperta
  • Sotto la tastiera (si ho visto fare anche questo, e si che pensavo succedesse solo nei film)

Questi sono i tre punti strategici dove cercare un foglietto con delle password, per ora non ho visto posti diversi, una cosa che però devo dire è che qualcuno mi ha detto - si ma io sul foglietto scrivo solo la password mica il nome utente - argomento che (non?) fa una grinza se non fosse che se l'attaccante è un collega sa benissimo come ricavare il nome utente di un collega, e qui ritorniamo a quanto detto in precedenza.

Le soluzioni ?

Soluzioni? e chi sono io per averne? Secondo me non se ne può uscire fintanto che esisteranno password esisteranno foglietti su cui verranno scritte, non ci si può fare nulla l'unica cosa che mi viene in mente è cercare di sensibilizzare la gente ad un uso più intelligente delle proprie credenziali, ma anche qui non saprei come, in fondo alla maggior parte della gente interessa arrivare a fine mese per avere lo stipendio, punto e basta, e chi se ne frega se poi qualcuno ruba informazioni...

The-End

Per finire vi lascio con una domanda, molto semplice e a cui non ho ancora dato una risposta, la domanda è questa: "Meglio una password semplice ma non scritta oppure una password complessa e scritta su foglietti appesi al monitor?"
Aspetto le vostre risposte, se vorrete, tra i commenti all'articolo.

Spammer zone

Forse a qualcuno questo articolo non piacerà ma magari qualcuno lo troverà interessante, beh se sei tra quelli che hanno trovato questo articolo interessante perchè non lo fai leggere ai tuoi amici? Se utilizzi dei social-bookmark perchè non mi linki? Mi darai una mano a crescere e magari farai un favore ad altri possibili lettori.

Saluti

In tutti gli articoli ho sempre qualcuno da salutare, prima fra tutti la sempre cara U. che leggerà questo delirante articolo in anteprima, e poi gli amici con cui ho scambiato quattro chiacchiere e che hanno reso possibile la stesura di questo breve articolo.

Grazie a tutti.

aeniGma - a.k.a. Eremita Solitario

 

Ultimo aggiornamento Sabato 17 Ottobre 2009 17:07  

Google search

Ricerca personalizzata

Fatti riconoscere


Petizioni

stopsoftwarepatents.eu petition banner

Sondaggi

Choose your color
 

Random quote

Solo due cose sono infinite: l'universo e la stupidità umana e non sono sicuro della prima.

Albert Einstein

Social Bookmark

Facebook myspace del.icio.us digg mixx reddit stumbleupon Twitter Google
diggita OkNotizie Segnalo UpNews ZicZac Wikio Fai Informazione