La sicurezza passa solo da password complicate? Microsoft dice di no

La sicurezza passa solo da password complicate? Microsoft dice di no

Semplicemente scambiando le regole di creazione delle password con le limitazioni di popolarità delle stesse, due ricercatori di Microsoft sono convinti di poter contenere i problemi di sicurezza

di pubblicata il , alle 16:21 nel canale Sicurezza
Microsoft
 

Impostare una password alfanumerica di 18 caratteri, con lettere maiuscole e minuscole, che non abbia un senso compiuto rappresenta a oggi il massimo livello di sicurezza che un utente può garantire ai propri account. Il rovescio della medaglia è però la difficoltà di memorizzazione e di digitazione della stessa sulla tastiera: un circolo vizioso che non sembra poter avere una soluzione.

Alcuni ricercatori di Microsoft hanno però identificato una possibile via per garantire l'impiego di password piuttosto semplici senza tuttavia rendere l'intero sistema più vulnerabile a possibili attacchi hacker. Il nuovo schema, almeno secondo le informazioni fornite da Technology Review, non andrebbe a lavorare sulla complessità della password per incrementare la sicurezza del sistema, quanto piuttosto a limitare l'uso delle password semplici ad un numero ristretto di utenti: sarebbe così possibile tenere invariato il livello di sicurezza.

Le sempre crescenti richieste circa la complessità delle password sono al momento l'unico modo che i responsabili della sicurezza hanno per evitare di subire con successo quelli che vengono definiti "dictionary attack". Senza queste richieste però, le persone molto spesso scelgono passsword facili da ricordare e brevi da digitare: la tecnica di attacco "dictionary attack", una delle più diffuse per sottrarre password, prevede un attacco basato su dizionari prestabiliti, bombardando un alto numero di utenti. A livello statistico quindi, anche se un account viene bloccato dopo diversi tentativi di accesso, cambiando account con cui provare l'hacker otterrà sempre un buon risultato. L'attacco non si concentra infatti su di un solo utente ma prova la password più comune o quelle più comuni su centinaia di migliaia di utenti allo stesso tempo.

A titolo di esempio, quando vennero pubblicate innavertitamente le password dei 32 milioni di utenti del social media RockYou, oltre la metà erano parole di senso compiuto, che si trovano facilmente quindi nei più comuni dizionari.

L'approccio studiato dai ricercatori di Microsoft viene descritto in questo documento. Di fatto, secondo quanto riportato dall'autore semplicemente scambiando le regole di creazione delle password con le limitazioni di popolarità delle stesse, è possibile aumentare il livello di sicurezza e di usabilità. Di fatto visto che una determinata password non potrà mai diventare tanto popolare, gli attacchi saranno meno efficaci. Il sistema se efficace potrebbe essere applicato su realtà con elevati numeri di utenti, come ad esempio Hotmail.

Al momento affermano Stuart Schechter e Cormca Herley, i due ricercatori di Microsoft, il nuovo schema di sicurezza non sarà implementato in alcun prodotto della società di Redmond: allo stato attuale delle cose lo schema è in mano ad un gruppo di studio per avere diversi feedback.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

37 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Narkotic_Pulse___21 Luglio 2010, 17:25 #1
non è una cosa tanto strana che solo la microsoft ci è arrivata..
la mia password è una parola che conosco solo io e che solo per me ha un senso compiuto, seguito da una serie di numeri che conosco solo io, proprio per essere sicuri.
gionnico21 Luglio 2010, 19:54 #2
Originariamente inviato da: Narkotic_Pulse___
non è una cosa tanto strana che solo la microsoft ci è arrivata..
la mia password è una parola che conosco solo io e che solo per me ha un senso compiuto, seguito da una serie di numeri che conosco solo io, proprio per essere sicuri.


Mi sa che non hai capito.

L'introduzione dove parla di 18 caratteri NON E' quello che ha detto microsoft.

Microsoft ha detto che le password da dizionario vanno bene, purché siano "uniche" o quasi tra tutti gli utenti (almeno di un servizio).

Sicuramente aiuta nel senso ovvio. Il rovescio della medaglia è che un hacker può condurre "test di password accettabili dal sistema" in modo da trovare quali password (non necessariamente da dizionario) esistono quasi sicuramente tra gli utenti.


Non mi pare quindi una grande idea quella di esporre - in qualche modo - le password degli altri utenti.
Potrà essere un vantaggio per l'azienda, che non si ritroverà con tanti utenti bucati, ma non per il singolo utente.
WarDuck21 Luglio 2010, 20:14 #3
Ma già con 11-12 caratteri un attacco a dizionario diventa difficile.

Comunque quello che si consiglia da sempre è che più di una password si usi una passphrase.

Ad esempio "la gallina è blu"

Vai adesso fai un attacco a dizionario.

Te la ricordi ed è sufficientemente lunga da garantirti adeguata sicurezza.

Ma tutto ciò è vano se poi l'utente mette la password in un sito compromesso e/o di phishing.
Narkotic_Pulse___21 Luglio 2010, 20:26 #4
Originariamente inviato da: WarDuck
Ma già con 11-12 caratteri un attacco a dizionario diventa difficile.

Comunque quello che si consiglia da sempre è che più di una password si usi una passphrase.

Ad esempio "la gallina è blu"

Vai adesso fai un attacco a dizionario.

Te la ricordi ed è sufficientemente lunga da garantirti adeguata sicurezza.

Ma tutto ciò è vano se poi l'utente mette la password in un sito compromesso e/o di phishing.

ma la gallina non è blu! dove ne hai viste di blu lo sai solo te
II ARROWS21 Luglio 2010, 21:00 #5
Quindi se ora mi disconnetto, e provo a collegarmi con l'utente "WarDuk" e password "La gallina è blu" entro?
bondocks21 Luglio 2010, 21:09 #6
Sai in quanti ci avranno già provato

E' per quello che WarDuck si è disconnesso..ha dovuto cambiare la password di corsa
Bastian_Contrario21 Luglio 2010, 21:09 #7
il massimo della sicurezza: la passphrare "adoro il seno grosso"
fraussantin21 Luglio 2010, 21:51 #8
secondo me e inutile metterlo obbligatorio.


se uno e tarato da mettere cm pw il suo nome o casa o dio.... peggio per lui.
fraussantin21 Luglio 2010, 21:53 #9
Originariamente inviato da: Bastian_Contrario
il massimo della sicurezza: la passphrare "adoro il seno grosso"


io ho un amico che per pw usa i nomi dei calciatori del milan......

eccheglifai...
gionnico21 Luglio 2010, 22:41 #10
Originariamente inviato da: Narkotic_Pulse___
ma la gallina non è blu! dove ne hai viste di blu lo sai solo te


Appunto a nessuno verrebbe in mente di provarlo.

Tranne a uno stupido computer che lo fa solo per bruteforce.
Ma per lui non ha maggior significato di "la gallina è blt" o di "la gallina è blv"

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^