Con il 44% degli utenti che usa sempre la stessa password, il 49% che la cambia una volta all’anno o addirittura mai, il 25% che le scrive su un foglio di carta, il 41% che si ritiene al sicuro in quanto bersaglio poco appetibile, e solo il 7% che usa un password manager (a), nessuna sorpresa che fra il 2019 e il 2020 gli attacchi basati sulle credenziali siano aumentati del 53%(b).
Le password hanno quattro problemi(0): infatti le password
- sono difficili da ricordare;
- vanno cambiate spesso;
- non si dovrebbero scrivere;
- non vanno riutilizzate.
La maggior parte degli utenti, invece, sceglie password facili o facilissime (sì, sto pensando proprio alla data di nascita di tua figlia, facilmente ottenibile dalla tua pagina Facebook “Auguri, Marta, per i tuoi 19 anni!”), non le cambia mai(1), le scrive in un giallino sotto la tastiera, oppure appeso al monitor (2), e dulcis in fundo, utilizza la stessa password per ogni cosa, dall’home banking alla posta elettronica alla smart card all’account Facebook, e chi più ne ha, più ne metta.
Ormai per fare qualsiasi cosa servono delle credenziali, ovvero una coppia username e password. Per entrare in banca, per il sito dell’INPS, per la posta elettronica, per la videoconferenza, per entrare nel telefono, per qualsiasi cosa bisogna fornire delle credenziali. Il problema di fondo delle credenziali è che solitamente una delle due parti è nota. Ad esempio, in un’azienda, poniamo, gli utenti sono battezzati con la prima lettera del nome, un punto, seguiti dal cognome. Quindi se il mio è d.biavati, sicuramente quello di Giuseppe Russo sarà g.russo. A questo punto, per entrare spacciandomi per quell’utente mi basta la password, e se la password è la data di nascita della figlia, ricavabile dai post su qualche social, il gioco è fatto.
Per inciso, gli attacchi informatici, con la notevole eccezione dello spear phishing(3), sono fatti sui grandi numeri. Quindi se il signor Russo ha una password più complicata, probabilmente qualcuno dei suoi colleghi avrà una password banale. Nessuno è al sicuro: in un’azienda milanese di sicurezza informatica dall’etica questionabile, la defunta Hacking Team, sono entrati grazie alle password superfacili da indovinare: “p4ssowrd”, “wolverine”, “universo”(4). Sì, lo so a cosa state pensando: se queste sono password facili da indovinare, figuriamoci le mie.
La posta elettronica, in particolare, è proprio l’esempio più concreto: indirizzo mail + password rappresentano le credenziali con cui si accede alla vostra posta. L’indirizzo mail è un dato che noi cerchiamo di divulgare il più possibile, a colleghi, clienti, fornitori, ecc… A me basta trovare la password, e mi posso impadronire della vostra mail. Pazienza, diranno in tanti, vorrà dire che qualcuno leggerà i miei messaggi. Purtroppo il danno che si può fare entrando in una mail è molto peggiore: posso cambiare la password e impedire l’ingresso al legittimo proprietario, oppure posso imbastire un attacco Man-in-the-Middle(5) e fregarmi i soldi del pagamento di una fattura, magari bella grossa.
Il problema di usare la stessa password dappertutto, sorge quando un servizio web di lunga data al quale ero iscritto (ad esempio, last.fm) è stato “bucato” e la mia coppia username (la mail) e la password sono di dominio pubblico. Se non me ne accorgo, ho consegnato una copia delle mie chiavi di casa su Internet, che in questi casi può anche rivelarsi un posto molto brutto con gente poco raccomandabile. Andare sul sito haveIbeenpwned.com e inserire il proprio indirizzo mail (e solo quello) può aiutare a chiarirsi le idee.
Quindi? Non si può fare niente? Se non memorizzo 50 password diverse sono in balìa degli attacchi?
Esistono fattori di mitigazione, i principali sono tre:
- fornire adeguata formazione al personale
- usare un gestore di password
- attivare, se possibile, l’autenticazione a due o più passaggi (TFA/MFA)
Brevemente: i gestori di password sono programmi che programmi che memorizzano e propongono le password immagazzinate, possibilmente coniugando alla sicurezza una certa praticità per l’utente. Programmi di questo tipo ne esistono a centinaia, e ce ne sono diversi integrati nei principali browser. Hanno ciascuno il proprio grado di sicurezza, ce ne sono di più o meno pratici, e analizzarli esula dagli scopi di questo articolo. Per ora basti sapere che qualsiasi gestore di password decente è meglio di niente.
L’autenticazione a due fattori (TFA) è un sistema per cui al primo accesso non bastano le credenziali ma devo inserire un altro codice, possibilmente ottenuto da un dispositivo diverso da quello che sto utilizzando per autenticarmi. I bonifici bancari sono sempre stati fatti in questo modo, infatti prima si accede all’home banking con username e password, e poi si conferma il bonifico usando un altro codice. Attenzione: se mi collego dal cellulare, e il codice mi viene mandato sul cellulare, sto mettendo tutte le uova nello stesso paniere: se in qualche modo qualcuno trova il modo per accedere al mio cellulare, per esempio ingannando il mio lettore di impronte digitali, è automaticamente in grado di fare i bonifici a mio nome. La mail, ad esempio, può essere protetta con un’autenticazione a due passaggi: ogni volta che voglio leggere la mia mail da un dispositivo diverso, devo immettere un codice ricavato da una app sul cellulare, o un codice via SMS. In questo caso, per entrare nella vostra mail, devo hackerare DUE cose: le credenziali E il cellulare. Diciamo… improbabile, molto improbabile. L’autenticazione a due fattori è una piccola scocciatura da accettare per avere un grande livello di sicurezza in più. Per chi fosse interessato, la configurazione della TFA potrebbe essere l’argomento per un articolo futuro.
Attenzione: fra i fattori di mitigazione non sono citati cambiare la password almeno ogni 3-6 mesi, l’usarne una abbastanza complessa e soprattutto non usare la stessa dovunque, perché do per scontato che se non l’avete fatto finora, cominciate a farlo da adesso. Subito. Intendo dire: immediatamente.
- (0): a dire il vero, le password non hanno nessun problema. Siamo noi ad avere problemi con le password.
- (1): la colpa è solo parzialmente vostra; è colpa anche di chi non vi obbliga a cambiarla configurando correttamente il software. In ultima analisi, è comunque colpa vostra, per il fatto che vi affidate a persone che non fanno bene il loro mestiere, o che comunque non hanno la preparazione per opporsi alla vostra richiesta “no, la mia password non deve scadere, io voglio usare sempre la stessa”. E’ come dire al proprio medico “io non voglio l’antibiotico, mi basta il succo d’arancia”. Se un medico accetta le vostre decisioni, cambiatelo, perché prima o poi vi farà secchi. Anzi, vi farete secchi con le vostre stesse mani.
- (2): Voglio dire, in un cassetto non è che sia molto meglio, ma almeno se qualcuno vuole rubare le password non le ha proprio sotto gli occhi…
- (3): spear phishing, attacco mirato, per metafora in quanto nella pesca subacquea viene usata la fiocina (spear), contrapposta alla “pesca a strascico” che solitamente viene fatta con il malware o con il phishing
- (4): https://it.wikipedia.org/wiki/Hacking_Team
- (5): brevemente, se imposto una regola per cui mi inoltro tutte le mail che arrivano alla posta che ho hackerato, e un’altra regola per cui tutta la posta che esce dall’account hackerato viene invece mandata al mio indirizzo, posso intercettare una fattura, cambiare l’IBAN per il pagamento, e mandarla al cliente. Ovviamente l’IBAN è il mio, appoggiato su una carta ricaricabile non tracciabile, appena ricevuti i soldi lascio una situazione in cui la fornitura è stata fatta, ma i soldi non sono arrivati.
Bibliografia:
- (a): La Repubblica, World Password Day, il 53% non cambia neppure dopo aver subito una violazione
- (b): rapporto Clusit 2020
Il titolo dell’articolo è ispirato ad un articolo della BBC del 23 Ottobre 2019.
Un articolo sulla sicurezza informatica di Decio Biavati, System Administrator di CNA Forlì-Cesena
Per riferimenti e consulenza contatta l’Ufficio Tecnico ICT di CNA Forlì-Cesena – 0543 770.352 – supporto.tecnico@cnafc.it