La sicurezza passa solo da password complicate? Microsoft dice di no
Semplicemente scambiando le regole di creazione delle password con le limitazioni di popolarità delle stesse, due ricercatori di Microsoft sono convinti di poter contenere i problemi di sicurezza
di Gabriele Burgazzi pubblicata il 21 Luglio 2010, alle 16:21 nel canale SicurezzaMicrosoft
Impostare una password alfanumerica di 18 caratteri, con lettere maiuscole e minuscole, che non abbia un senso compiuto rappresenta a oggi il massimo livello di sicurezza che un utente può garantire ai propri account. Il rovescio della medaglia è però la difficoltà di memorizzazione e di digitazione della stessa sulla tastiera: un circolo vizioso che non sembra poter avere una soluzione.
Alcuni ricercatori di Microsoft hanno però identificato una possibile via per garantire l'impiego di password piuttosto semplici senza tuttavia rendere l'intero sistema più vulnerabile a possibili attacchi hacker. Il nuovo schema, almeno secondo le informazioni fornite da Technology Review, non andrebbe a lavorare sulla complessità della password per incrementare la sicurezza del sistema, quanto piuttosto a limitare l'uso delle password semplici ad un numero ristretto di utenti: sarebbe così possibile tenere invariato il livello di sicurezza.
Le sempre crescenti richieste circa la complessità delle password sono al momento l'unico modo che i responsabili della sicurezza hanno per evitare di subire con successo quelli che vengono definiti "dictionary attack". Senza queste richieste però, le persone molto spesso scelgono passsword facili da ricordare e brevi da digitare: la tecnica di attacco "dictionary attack", una delle più diffuse per sottrarre password, prevede un attacco basato su dizionari prestabiliti, bombardando un alto numero di utenti. A livello statistico quindi, anche se un account viene bloccato dopo diversi tentativi di accesso, cambiando account con cui provare l'hacker otterrà sempre un buon risultato. L'attacco non si concentra infatti su di un solo utente ma prova la password più comune o quelle più comuni su centinaia di migliaia di utenti allo stesso tempo.
A titolo di esempio, quando vennero pubblicate innavertitamente le password dei 32 milioni di utenti del social media RockYou, oltre la metà erano parole di senso compiuto, che si trovano facilmente quindi nei più comuni dizionari.
L'approccio studiato dai ricercatori di Microsoft viene descritto in questo documento. Di fatto, secondo quanto riportato dall'autore semplicemente scambiando le regole di creazione delle password con le limitazioni di popolarità delle stesse, è possibile aumentare il livello di sicurezza e di usabilità. Di fatto visto che una determinata password non potrà mai diventare tanto popolare, gli attacchi saranno meno efficaci. Il sistema se efficace potrebbe essere applicato su realtà con elevati numeri di utenti, come ad esempio Hotmail.
Al momento affermano Stuart Schechter e Cormca Herley, i due ricercatori di Microsoft, il nuovo schema di sicurezza non sarà implementato in alcun prodotto della società di Redmond: allo stato attuale delle cose lo schema è in mano ad un gruppo di studio per avere diversi feedback.
37 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infola mia password è una parola che conosco solo io e che solo per me ha un senso compiuto, seguito da una serie di numeri che conosco solo io, proprio per essere sicuri.
la mia password è una parola che conosco solo io e che solo per me ha un senso compiuto, seguito da una serie di numeri che conosco solo io, proprio per essere sicuri.
Mi sa che non hai capito.
L'introduzione dove parla di 18 caratteri NON E' quello che ha detto microsoft.
Microsoft ha detto che le password da dizionario vanno bene, purché siano "uniche" o quasi tra tutti gli utenti (almeno di un servizio).
Sicuramente aiuta nel senso ovvio. Il rovescio della medaglia è che un hacker può condurre "test di password accettabili dal sistema" in modo da trovare quali password (non necessariamente da dizionario) esistono quasi sicuramente tra gli utenti.
Non mi pare quindi una grande idea quella di esporre - in qualche modo - le password degli altri utenti.
Potrà essere un vantaggio per l'azienda, che non si ritroverà con tanti utenti bucati, ma non per il singolo utente.
Comunque quello che si consiglia da sempre è che più di una password si usi una passphrase.
Ad esempio "la gallina è blu"
Vai adesso fai un attacco a dizionario.
Te la ricordi ed è sufficientemente lunga da garantirti adeguata sicurezza.
Ma tutto ciò è vano se poi l'utente mette la password in un sito compromesso e/o di phishing.
Comunque quello che si consiglia da sempre è che più di una password si usi una passphrase.
Ad esempio "la gallina è blu"
Vai adesso fai un attacco a dizionario.
Te la ricordi ed è sufficientemente lunga da garantirti adeguata sicurezza.
Ma tutto ciò è vano se poi l'utente mette la password in un sito compromesso e/o di phishing.
ma la gallina non è blu! dove ne hai viste di blu lo sai solo te
E' per quello che WarDuck si è disconnesso..ha dovuto cambiare la password di corsa
se uno e tarato da mettere cm pw il suo nome o casa o dio.... peggio per lui.
io ho un amico che per pw usa i nomi dei calciatori del milan......
eccheglifai...
Appunto a nessuno verrebbe in mente di provarlo.
Tranne a uno stupido computer che lo fa solo per bruteforce.
Ma per lui non ha maggior significato di "la gallina è blt" o di "la gallina è blv"
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".