mercoledì 18 luglio 2012

Attacchi cracker, password sicure con il vademecum di ESET NOD32


Gli attacchi portati a piattaforme web molto popolari, quali LinkedIn e - più recentemente - Yahoo!, hanno dimostrato quanto siano potenzialmente esposti i dati personali che gli utenti memorizzano su Internet. Contro questo tipo di attacchi l’utente finale non ha la possibilità di attuare una difesa efficace, ma questo non significa che non sia comunque possibile mitigare un’altra tipologia di intrusione, messa in luce dai recenti avvenimenti.

L’analisi dei dati sottratti, riguardanti gli account degli utenti che usano i social network e altri tipi di servizi su Internet, ha infatti dimostrato come una gran parte degli utilizzatori che hanno creato tali account abbiano anche scelto di impiegare password facili da indovinare (come “password” o “123456”) attraverso l’uso di semplici dizionari di parole comuni.

Il termine tecnico con cui si fa riferimento a tale attacco viene detto “brute force” (forza bruta) e si basa sull’uso di dizionari di parole comuni, immesse automaticamente in un account attraverso l’impiego di appositi programmi o comunque facilmente indovinabili attraverso pochi tentativi manuali. Per questo motivo riteniamo utile fornire a tutti gli utenti una elenco delle cattive e delle buone regole da adottare quando si sceglie una password che verrà usata per accedere a un determinato sito o servizio.


20 cose che un utente non deve MAI fare quando sceglie una password
  1. Una parte qualsiasi del proprio nome
  2. Il nome del proprio account, ovvero il cosiddetto UserID (identificativo utente). Di norma, per creare un account sono necessari due elementi: lo UserID, che molto spesso è rappresentato da un semplice indirizzo di posta elettronica, e una password. Mai usare come password il proprio UserID, devono sempre essere diversi l’uno dall’altra.
  3. Qualcosa meno lungo di 7 caratteri
  4. Una parte qualsiasi del nome di un membro della propria famiglia (animali domestici inclusi) o, peggio, quello di un collega
  5. Nomi di sistemi operativi
  6. Numeri con significati particolari (ad esempio, numeri di telefono e targhe automobilistiche)
  7. Nomi di luoghi
  8. Cose preferite o più detestate
  9. Facili associazioni con cose preferite o detestate: per esempio, “Aragorn” è una password pessima per un fan de “Il Signore degli Anelli”
  10. Una qualsiasi parola dalla corretta grammatica, in inglese come nella propria lingua madre, specialmente quelle che con ogni probabilità sono incluse in dizionari di parole d’uso comune. Ad esempio, “il mio nome” è una password non idonea per chi parla italiano
  11. Titoli di canzoni, persone famose, personaggi dei cartoni animati, ecc. In particolare evitare nomi quali “CharlieBrown”, “Snoopy”, “Kirk”, “Spock”, “McCoy”, “Pippo”, “Topolino”, ecc
  12. Nulla di così difficile da ricordare tanto da richiedere di essere scritto da qualche parte
  13. Nulla che sia scritto tutto in maiuscole o minuscole
  14. Nulla con il primo o ultimo carattere in maiuscolo e con il resto in minuscolo
  15. Nulla che sia stato usato come esempio per un testo. Ad esempio, il celebre “Lorem ipsum”
  16. Nulla che contenga solo lettere dell’alfabeto
  17. Stringhe di caratteri o numeri che abbiano un significato particolare: numeri di telefono, date di nascita, ecc
  18. Parole di uso comune e popolari come “wizard”, “password”, “oggi”, “AAAAAAA”, “QWERTYUIOP” ecc
  19. Anagrammi di un qualsiasi esempio fatto sopra, specialmente se basati su una semplice inversione di caratteri
  20. Variazione ovvie come il premettere o il far seguire un numero a uno degli esempi già fatti

Le 10 strategie migliori da seguire per scegliere una password forte
  1. Intervallare due parole. Ad esempio: Professor Putricide = PpRuOtFrEiScSiOdRe
  2. Intervallare una parola con numeri. Esempio: Frodo 465 = F4r6o5do
  3. Concatenare due parole, possibilmente usando un simbolo come delimitatore. Esempio: Bilbo Baggins = biLbO^bAGGinS
  4. Se consentito, inserire dei caratteri di controllo o simboli che non siano alfanumerici (!@#$%)
  5. Usare appositamente degli errori ortografici. Esempio: Luna = lUhnNA
  6. Maiuscole e minuscole usate in modo non ortodosso. Esempio: caPitaLiSation
  7. Acronimi che hanno un significato personale. Esempio: ICRMPW (I Can’t Remember My Password)
  8. Sostituire le lettere con numeri o caratteri equivalenti e le parole intere con abbreviazioni. Esempio: “I love you too” = 1LuVu2
  9. Non usare la stessa password in posti diversi
  10. Usare una combinazione di tutte le tecniche mostrate sopra
Fonte: ESET

Nessun commento:

Posta un commento