Password al tramonto ovvero l’insicurezza delle password

Tutti noi oggi siamo dotati di varie identità digitali, e per relazionarci ad esse facciamo largo uso di strumenti di autenticazione. In realtà, a dirla tutta, gli strumenti che adottiamo ci consentono le famose 3 A: Authentication Authorization Accounting. Cosa utiliziamo dunque per per fruire delle nostre molteplici identità digitali? Beh di solito delle cosiddette credenziali di accesso ovvero dell’accoppiata UserID e Password (d’ora in poi pw). 

Fin’ora avevano funzionato egregiamente, in passato abbiamo anche ricevuto qualche strigliata dal legislatore, soprattutto in Italia, per via del fatto che troppo spesso tendevamo a prendere sotto gamba le reali necessità di seguire un certo rigore quando si trattava di sicurezza logica. La fisica sempre curata a volte anche in eccesso con porte blindate, sistemi di allarme, telecamere circuito chiuso e quant’altro ma poi quando si andava a verificare la sicurezza logica, le password ancora molto utilizzate erano quelle di default dei sistemi (anche sui router), oppure la consueta “pippo”o “password” o “12345678” od ancora “NomeCognome” (spesso senza neanche le maiuscole) insomma si procedeva alla buona.. tanto “a chi vuoi che interessi” accedere al nostro PC od alla nostra applicazione od al nostro sistema di business da quattro soldi.. si pensava..

In questo il D.lgs. 196/2003 tese a porre rimedio aggiungendo un valido e puntuale allegato B (DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA) che obbligava “almeno”, nei trattamenti di dati personali o sensibili, a rispettare delle policy consistenti tanto per iniziare nei seguenti punti:

  1. lunghezza minima della pw: 8 caratteri (salvo casi specifici in cui ciò non era possibile);
  2. durata della pw di 6 mesi nel caso di trattamento di dati personali e di 3 mesi nel caso di trattamento di dati sensibili (es: appartenenza a partiti politici, sindacati, tendenze sessuali, dati sanitari etc..);
  3. contenuti delle pw non scontate evitando quindi riferimenti recuperabili come nomi dei figli loro date di nascita, squadra del cuore etc..;
  4. la disattivazione delle credenziali per mancato utilizzo per un periodo maggiore di 6 mesi;

ebbene se all’epoca queste specifiche o politiche come meglio desiderate intenderle, risultavano congrue ed accettabili per gli strumenti dei quali all’poca potevano disporre i malintenzionati, oggi quel mondo lì sembra così lontano da non poter neanche essere preso in considerazione.

Purtroppo la colpa è dell’innovazione che ha reso la potenza dei processori e delle cracking machines un vero pericolo per questi rudimentali sistemi di accreditamento. Ma tale colpa è da imputare anche degli studi statistici sullo strumento di autenticazione maggiormente utilizzato fino ad oggi. Vi sono sistemi e studi che hanno interessato 100 milioni di password utilizzate in tutto il mondo e che hanno basato il loro sistema di cracking proprio sugli algoritmi di creazione delle pw maggiormente utilizzati al mondo. I pattern scaturiti da questi studi sono stati usati come base per sviluppare gli algoritmi da inserire nel codice al fine di ottimizzare le già esorbitanti capacità di elaborazione dei sistemi multiprocessore ASIC (Application-Specific Integrated Circuits) disponibili sul mercato.

Per capirci siamo arrivati a sistemi con 40 CPU da 450MHz, capaci di provare a craccare ben 18 miliardi di chiavi al secondo. Considerate che sistemi meno efficienti con “solo” 8 AMD Radeon HD7970 GPU cards (schede grafiche riprogrammate per fare number crunching) con sopra installata la versione 0.10 di oclHashcat-lite, hanno richiesto solo 12 ore per ricercare con la tecnica brute force (ricerca esaustiva di tutte le chiavi possibili) l’intero keyspace per tutte le possibili pw di 8 caratteri contenenti maiuscole minuscole, numeri e caratteri speciali ! Quanto siamo lontani dalle speranze celate dietro alle raccomandazioni del Garante della Privacy di 9 anni fa (2003)?

Ricordiamo, per chi non voglia davvero investre troppo denaro in risorse hardware, che ora esistono comunque servizi specifici di cracking a bassi prezzi come CloudCracker che offrono servizi specifici teoricamente “immorali e forse illegali” ma per i quali potremmo comunque trovare funzioni legali come scoprire eventuali deficienze dei nostri sistemi di sicurezza tipo PenTest.

E se pensavate di essere stati furbi (clever) ad utilizzare delle password con parole compiute modificate mediante sostituzioni numeriche come “passwo3d” oppure “4dm1n” (sostituendo la A con il 4) o simili trasposizioni, siete davvero fuori strada. Forse nel 2004/2005 ve la sareste potuta cavare, magari aggiungendo qualche numero in più ed almeno un carattere speciale, ma oggi davvero non avremmo scampo. Il  D.lgs. 196/2003 non ci protegge più. Dobbiamo per forza essere proattivi e guardarci intorno per comprendere come stia evolvendo il mondo dei sistemi sicuri. La pw di 8 caratteri deve andare in pensione anticipata anche quando l’entropia rispetto al numero dei caratteri in uso risulta massima (diciamo i 96 caratteri delle maiuscole+minuscole+numeri+caratteri speciali). Con sistemi di cracking così potenti, anche pw del tipo “Sup3rThinkers” che passerebbe qualsiasi sistema di valutazione della qualità di pw tipo http://howsecureismypassword.net/ vista la lunghezza e l’uso di maiuscole minuscole e numeri, di fatto rende inutili i nostri sforzi per rendere “furba” la nostra pw (complessa ma mnemonica). Insomma mettendo insieme il sistema di cracking con un software intelligente in grado di discriminare tra i pattern più diffusi e quelli meno usati, i tempi necessari per indovinare la nostra pw passano da mesi a giorni, smantellando così le nostre (pur poche) sicurezze!

Tutti voi avrete notato nelle vostre banche infatti (non a caso) un cambio di paradigma. Una volta con la coppia UserID/PW si faceva tutto, adesso si è passati al “two factor authentication” ed in alcuni casi “three factor authentication“. Ci sono strumenti come i dongle o dispositivi con un piccolo display ed un bottone definiti OTP (One Time Password) generator, più o meno sofisticati, sistemi che inviano tali codici via SMS per cui ci svincolano dall’obbligo di portare con noi il dispositivo di generazione OTP che di fatto è surrogata dal nostro cellulare per la sola parte di display (il calcolo dell’OTP è eseguito presso la banca stessa). Questi sistemi, se opportunamente implementati nelle procedure manuali/automatiche, possono per ora almeno garantire una certa sicurezza. Per quanto tempo.. lo scopriremo presto. Vi basti il ricordare che alcune implementazioni furono così malamente architettate che causarono notevoli danni ai titolari dei conti. Ma sono ricordi del passato.. speriamo!

In realtà questo passaggio dall’uso di semplici credenziali UserID/pw al multi factor authentication sta interessando tutti i siti più seri come Google, e lo stesso Dropbox USA (in Italia non mi risulta ancora sia attivo) e pian piano coinvolgerà via via tutti necessariamente proprio a causa di quanto esposto in questo e molti altri articoli presenti in internet.

In questo l’Italia (incredibile dictu) è ben più avanti degli Stati Uniti: le pw delle banche americane sono ancora corte anche solo 7 caratteri, non sempre è adottato il “two factor authentication” e con la medesima pw si opera per visualizzare il proprio conto corrente e per disporre bonifici, od acquisti titoli! Un amico che mi raccontava questi fatti mi ha lasciato di sasso! Ovviamente parliamo di Settembre 2012! In Italia ormai da tempo, male che va, si adotta la doppia pw ovvero la pw di accesso e di visualizzazione e/o la schedina con le triplette numerate per le disposizioni, le ricariche cellulari e gli acquisti di titoli.

In un mondo così assetato di denaro con il cybercrime che bussa a tante porte bisogna stare con gli occhi bene aperti e prima di tutto mai dare per scontato che nessuno sia interessato ai nostri pochi soldi. Un conto associato ad una carta di credito sia pur non oro o platino od un conto paypal con pochi spicci hanno comunque un loro valore sul cybermarket e pertanto vanno tutelati con la massima cura.

Se proprio dovessimo scegliere il solo utilizzo della pw vi rimando ad un pw generator e pw store come quello già recensito in questo sito KeePass.

Riferimenti: passwords under assault by Aug 21 2012, 3:00am -200

Luca Regoli