NEWS ALIAS |
24 Ottobre 2013 |
Vasco: sicurezza delle password? Make it MOBILE!
 |
| leggi qui l'articolo orignale di Jack Valcke, President and Chief Operating Officer at VASCO |
|
Nel marzo scorso, i redattori di Ars Technica hanno avuto un'esperienza abbastanza scioccante. Una lista di 16.000 password criptate è stato fornita a Nate Anderson, Editor-in-Chief della pubblicazione, e poi a tre esperti di cracking. Dopo il lavoro di poche ore, Nate Anderson, che può essere considerato un novellino in questo campo, è riuscito a decifrare quasi la metà delle 16.000 password.
I tre cracker esperti in meno di un'ora sono riusciti a decrittare l'82% delle password nella lista, arrivando al 90% nelle 24 ore successive. Ancora poco tempo, e l'intera lista sarebbe stata decifrata.
La morale della storia: tutte le password possono essere crakkate, e con relativa semplicità. Alcune "good practices" aiutano a diminuire il rischio, ma nessuna password può essere nascosta per sempre.
Partendo da questo assunto possiamo chiederci, in ultima analisi, se e in quale misura le password siano sufficienti per le odierne esigenze di protezione dell'identià e dei dati sulla Rete.
|
Password: errore umano?
|
|
La rivoluzione digitale ha deteminato un nuovo onere che svolgiamo quasi ogni giorno se non più volte al giorno: identificarci e autenticarci per accedere agli account e alle applicazioni personali disponibili in Rete.
E questa trasformazione dei comportamenti ha originato un dilemma mai esistito prima. Parliamo delle password, o, per essere più precisi, della combinazione di username/password.
|
|
 |
|
Non solo dobbiamo crearne sempre di più, ma dobbiamo anche essere sicuri che non siano semplici da indovinare o da decifrare. E, ovviamente, vanno ricordate.
Sfortunatamente, quello che rende una password semplice da ricordare è il motivo che la rende semplice da decifrare...
|
Quali sono i migliori consigli per la scelta di una password?
|
 |
|
La tentazione di costruirla semplice: scegliere il nome di battesiamo del compleanno o la data di nascita del figlio è furbo quanto lasciare la porta di casa spalancata. E questa affermazione è particolarmente vera oggi che molte informazioni personali sono disponibili attraverso social network e in generale nel Web.
|
 |
|
Giocare con la complessità: più è ampio l'alfabeto da cui pescare i caratteri da usre nelle password, maggiori combinazioni è possibile realizzare e quindi diventa più difficile che la password venga indovinata. E' inoltre raccomandabile l'utilizzo di un mix tra lettere, numeri e caratteri speciali, oltre che maiuscole e minuscole. |
 |
|
Giocare con la lunghezza: la lunghezza della password è uno strumento sottovalutato, che però è determinante per incrementare il livello di sicurezza della password.
Questo è il motivo per cui alcuni siti e applicazioni richiedono una lunghezza minima della password.
|
| Comunque, seguire questi principi non rendono una password invincibile; ne siamo veramente lontani. Se un novellino riesce a crakkare diverse migliaia di password, crittografate con la funzione di HASH MD5 (comunemente la più utilizzata), in poche ore, figuriamoci cosa possa fare un esperto con gli strumenti giusti. |
Dovremmo continuare ad usare le password?
|
| Inutile dire che il trend relativo a procedure e scambi, che siano dati, merci o soldi, sia quello di digitalizzare l'informazione. I progetti di modernizzazione governativi dasati sulle tecnologie digitali fanno parte dell'agenda di ciascun Paese, l'e-commerce sta crescendo del 20% ogni anno e lo sviluppo dei sistemi di pagamento elettronico sta stimolando la crescita in diversi settori di business. |
|
Non è difficile immaginare che nell'immediato futuro andremo ad utilizzare i servizi online per un numero sempre maggiore di attività. Con ciascuno di questi servizi che richiede un'autenticazione, sarà ovviamente indispensabile creare e ricordare un numero sempre maggiore di password.
E se vogliamo che siano un minimo sicure, le password dovranno essere lunge e complesse.
Presto o tardi, per gli utenti questo sistema di gestione sarà fuori controllo...
|
 |
|
Al giorno d'oggi l'unica soluzione che garantisce la massima protezione per una password è la sua modifica ad ogni nuovo login. Naturalmente, questo approccio non può essere realisticamente praticato.
|
Smartphone alla riscossa
|
|
Quando si tratta di sicurezza e autenticazione digitali, il settore professionale più sensibile (leggi banche) già da tempo si è dotato di soluzioni di autenticazione forte e di password dinamiche. Queste password sono generate on demand, sono valide per un singolo utilizzo e hanno una durata temporale limitata.
Il principio del'utilizzo one-time della password è lo strumento migliore per la sicurezza e la protezione dei dati, oltre che per la perdita e il furto di file. Se una di queste password finisce nelle mani di un hacker, poco importa: la password rubata è immediatamente inutilizzabile.
|
 |
|
Fin'ora era difficiele trasporre questa tecnologia di autenticazione forte nella sfera privata, in quanto richiede l'accesso ad un piccolo terminale che genera e rende visibile la one-time password: troppo specifico e troppo vincolante.
Ma il consumatore è cambiato.
Da ora e per il futuro abbiamo a disposizione terminali molto potenti e versatili: i nostri smartphone.
Questo cambia tutto! E significa la possibilità di trasportare le tecnologie di strong authentication e password dinamica in ambito consumer. Alcune soluzione sono ancora più avanzate, consentendo agli utenti di autenticarsi mediante la semplice scansione di un codice QR mediante il loro smartphone.
Quest'ultima tecnologia in particolare potrà consentire la proliferazione delle one-time password vista la semplicità di utilizzo e di adozione (i consumatori si sono abituati alla scansione dei codici grafici piuttosto che alla digitazione degli URL sul browser, specialmente se utilizzano uno smartphone).
|
| Siamo ormai ad un passo da una nuova generazione di procedure di autenticazione... |
|
SCARICA L'ALLEGATO: 