Mentre si parla di cittadinanza digitale c'è ancora chi usa come password: "1234567"
"L’ultimo attacco di Anonymous Italia ci ha chiarito da dove dovevamo partire con i nostri articoli sulla sicurezza di base e cioè da una corretta gestione delle password."
La posta elettronica certificata di circa trentamila avvocati iscritti all'Ordine di Roma è stata violata da un attacco di Anonymous Italia.
Sicuramente nulla ha funzionato in termini di sicurezza, se è vero che le caselle di posta elettronica a cui erano associati nome utente e password erano in chiaro (cioè non criptate) e che le credenziali (user e password) dei pannelli di controllo erano rimaste quelle di default e cioè “admin/admin”.
Certamente i singoli utenti non avrebbero potuto impedire questo attacco ma sembrerebbe che i dati sottratti da Anonymous siano solo quelli relativi alla prima registrazione e molti potrebbero non aver cambiato la password iniziale.
Molto interessante e, se non si parlasse di sicurezza, anche divertente, è la “Lettera aperta al #Garante sul Leak di Visura.it e dell’Ordine degli Avvocati di Roma” scritta da Matteo FLORA, esperto in sicurezza informatica e comunicazione, che potete leggere in modo integrale cliccando su questo link.
L’esperto ha stilato un elenco delle password più utilizzate dagli avvocati romani per registrare la propria pec.
Tra le oltre 12.000 password presenti nel database ve ne sono 87 in cui è stata utilizzata la parola “avvocato”, 32 corrispondono alla difficilissima “1234567”, 25 tifosi hanno ricordato la loro squadra del cuore con un “forzaroma”, altri 118 hanno utilizzato nomi propri come: “lorenzo”, “francesco”, “camilla”, “francesca”, “alessandro”, “federica” e “stefano”.
Come cita sempre Matteo FLORA, la piattaforma non ha fatto rispettare quelli che sono i criteri minimi di sicurezza per una password tra cui la sua lunghezza, infatti ben 2.354 password sono composte da solo 7 caratteri. Anche quella che è detta “entropia” della password, cioè la sua robustezza, lascia esterrefatti, infatti, il 41% delle password pari a 5.160, sono composte da tutti caratteri alfabetici minuscoli.
Volete sapere quante password implementano quella che gli esperti definiscono un’entropia corretta della password cioè che contengono maiuscole, minuscole, numeri e segni grafici: 82 su 12.000 pari allo 0,66% del totale.
Ma quali criteri si devono adottare per realizzare una buona password?
Gli esperti ritengono che una buona password debba essere composta da più di 8 caratteri e tra questi vi dovrebbero essere maiuscole, minuscole, numeri e caratteri speciali.
Nelle ultime linee guida per l’identità digitale redatte dal NIST (National Institute for Standards and Technology) che è tra gli enti più autorevoli in materia di sicurezza informatica, in realtà rimane solo la regola degli 8 caratteri facili da ricordare.
Non è più consigliato l’uso di password complesse e da cambiare periodicamente, questa è sembrata essere una resa perché, di fronte a regole così ferree che impediscono di completare la registrazione, l’utente sostituiva la parola “password” con la stringa “Password1” e quando era costretto a cambiare la password avanzava semplicemente di un’unità da “Password1” a “Password2”.
Il NIST suggerisce che almeno le password non siano troppo semplici come sequenze di lettere o numeri, parole inserite in un normale dizionario o di uso comune, oppure parole che contengano nome o cognome dell’utente oppure il nome del servizio (come ad esempio Gmail seguito dal nome dell’utente come GmailRoberto).
Interessante è anche il consiglio per i gestori dei servizi online di non proporre più metodi di ripristino delle password che si basino su domande personali come il nome del tuo primo animale, infatti, tali informazioni si possono ormai facilmente recuperare tramite i social network.
Qual è il nostro consiglio?
Al momento il consiglio che possiamo dare è quello di continuare ad usare password complesse anche qualora il sistema accettasse delle stringhe più semplici, infatti, gli attacchi riusciti ai sistemi online non usano tecniche cosiddette di “forza bruta” (provare, in serie, ogni combinazione di caratteri, simboli, lettere o numeri fino a quando non viene trovata la chiave giusta) ma sono attacchi basati sul cosiddetto social engineering, cioè sfruttando tutte quelle informazioni che lasciamo ogni giorno in rete.
Nel prossimo articolo parleremo dei password manager, così vi spiegheremo in modo semplice, semplice come usare password forti senza rischio di dimenticarsele.