2. # whoami
Laurea in Informatica e Master in Sicurezza Informatica
ed Investigazioni Digitali
Responsabile Area Sistemi Informativi ed Innovazione
Tecnologica dell’Università di Foggia
OSSTMM Professional Security Tester Certified
Docente in corsi mirati alla sicurezza informatica
Ho fatto parte del Team di Sicurezza del G8 Summit
2009 che si è svolto in Abruzzo nel 2009
Security Evangelist & Infosec maniac :-)
Autore di articoli sulla Sicurezza Informatica per
HTML.IT:
http://www.html.it/autore/daniloderogatis
Clusit Member, IEEE Senior Member
Foggia, 5 marzo 2013 2
Danilo De Rogatis
3. Obiettivi del talk
Fornirvi un quadro generale dei
problemi legati ai meccanismi di
autenticazione, con particolare
riferimento alle password.
Fornirvi dei consigli per gestire le vostre
password in modo più consapevole e
sicuro.
In generale, accrescere la vostra
consapevolezza sui rischi legati ad
una cattiva gestione delle password.
Foggia, 5 marzo 2013 3
Danilo De Rogatis
4. AAA
La gestione delle password fa parte di un sistema più generale denominato
AAA e composto da tre fasi (le 3 “A”):
Authentication - Gli utenti e gli amministratori devono dimostrare chi sono.
L'autenticazione può essere stabilita tramite combinazioni di username e
password, domande di challenge (sfida), token, e altri metodi.
Authorization - Dopo che l'utente è stato autenticato, i servizi di
autorizzazione individuano le risorse a cui l'utente può accedere e quali
operazioni l'utente è autorizzato a svolgere.
Accounting and auditing (tracciabilità) – Vengono registrate le azioni
eseguite dagli utenti: a quali risorse si è potuto accedere, la quantità di tempo
trascorsa su queste risorse, e le eventuali modifiche apportate.
Foggia, 5 marzo 2013 4
Danilo De Rogatis
5. Concentriamoci sull'Autenticazione
Può essere effettuata con diversi metodi, in generale il paradigma di riferimento è:
• Qualcosa che so
• Qualcosa che ho
• Qualcosa che sono
Ad esempio posso avere un'autenticazione a più fattori:
Qualcosa che so: password
Qualcosa che ho: una One Time Password generata da un device (es. security
token come quello che ci forniscono le banche)
Qualcosa che sono: biometria (impronta digitale, riconoscimento retina, etc.)
Oltre allo username ovviamente.
Foggia, 5 marzo 2013 5
Danilo De Rogatis
6. Obblighi di Legge
D.Lgs. 196/2003 – Allegato B: Disciplinare tecnico in misure minime di sicurezza
(Artt. da 33 a 36)
prevede che:
- il trattamento dei dati personali con strumenti elettronici venga effettuato mediante
credenziali di autenticazione: userid/password o dispositivo di autenticazione in
possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice
identificativo o a una parola chiave, oppure in una caratteristica biometrica
dell'incaricato, eventualmente associata a un codice identificativo o a una parola
chiave;
- parola chiave composta da almeno otto caratteri;
- modificata almeno ogni 6 mesi (3 mesi per dati sensibili e giudiziari);
- non riutilizzabile;
- disattivata in caso di non utilizzo per almeno 6 mesi o in caso di
furto/smarrimento/violazione etc.
Decreto “Amministratori di Sistema” (27/11/2008 mod. 25/6/2009)
Foggia, 5 marzo 2013 6
Danilo De Rogatis
7. Standard di riferimento
In principio era la BS 7799:2: conteneva Linee Guida e Standard per la Gestione
della Sicurezza delle Informazioni (SGSI).
Le linee guida sono state recepite dall'ISO come ISO 17799 (Information
Technology -Security Techniques - Code of practice for information security
management), mentre lo standard vero e proprio è è stato emesso come ISO
27001:2006.
Nel 2002 poi anche la norma 27001 è stata sostiutiuta dalla ISO27002:2007
Altri standard di di riferimento:
PCI-DSS (Payment Card Industry – Data Security Standard)
RFC 972 (Password Generator Protocol)
...e molti altri...
Foggia, 5 marzo 2013 7
Danilo De Rogatis
8. I problemi legati alla gestione delle password
Come scegliere le password?
Come memorizzarle?
Quanto devono essere lunghe?
Quanto devono essere complesse?
Ogni quanto tempo bisogna
cambiarle?
Posso riutilizzarle?
Come proteggere le mie password?
Le password sono violabili?
Foggia, 5 marzo 2013 8
Danilo De Rogatis
9. I “falsi miti” legati alle password...
“Eh, ma basta una password qualsiasi di almeno 6 caratteri...”
“Beh, sai, io non ho nulla da nascondere...in ufficio le mie password
le conoscono tutti...”
“Ho lasciato la password di default...a chi vuoi che interessi il
contenuto del mio PC o della mia casella di posta elettronica...”
“Anche se mi rubano la password di posta elettronica non fa
niente...non c'è nulla di compromettente nei miei messaggi..”
“Non riesco a ricordare molte password, allora per non scrivermele
uso la stessa per tutto...”
Foggia, 5 marzo 2013 9
Danilo De Rogatis
12. Facciamo un piccolo test...
Alzi la mano chi usa almeno una password più
corta di 6 caratteri
Foggia, 5 marzo 2013 12
Danilo De Rogatis
13. Facciamo un piccolo test...
Alzi la mano chi usa la stessa password per almeno
due tra le seguenti applicazioni: caselle e-mail,
Facebook, Linkedin, Twitter, Dropbox e così via ...
Foggia, 5 marzo 2013 13
Danilo De Rogatis
14. Facciamo un piccolo test...
password
Passw0rd
Alzi la mano chi usa come Password1
password:
123456
- La propria data di nascita o 1234567
quella di moglie/fidanzata/figli qwerty
- Il nome dell'animale preferito abc123
pippo
- Una delle password listate qui a 696969
fianco (Linkedin disclosure)
123123
111111
…
Foggia, 5 marzo 2013 14
Danilo De Rogatis
15. Quante mani alzate?
Poche: o siete timidi o siete furbi (o tutt'e due...)
Abbastanza: siete stati onesti
Molte: “Houston, abbiamo un problema...!” :)
Foggia, 5 marzo 2013 15
Danilo De Rogatis
16. “Oh My God!!”
“Caspita...domattina devo
assolutamente ricordarmi di
cambiare le password!!”
Foggia, 5 marzo 2013 16
Danilo De Rogatis
17. L'importanza di scegliere “buone” password
La password è ancora il Santo Graal delle
informazioni!
Il “Key Factor” è ancora la sua lunghezza,
più che la sua complessità.
Ad esempio, quale delle due password
seguenti ritenete sia più “sicura”?
D0g.....................
PrXyc.N(n4k77#L!eVdAfp9
Foggia, 5 marzo 2013 17
Danilo De Rogatis
18. L'importanza di scegliere “buone” password
Probabilmente avete risposto la seconda... :-D
In realtà è la prima
Per individuare la prima password con un attacco brute-force è necessario
un tempo di esecuzione 95 volte più lungo rispetto alla seconda.
E se usiamo un attacco a dizionario? Non potrebbe essere presente nel
dizionario?
Certamente, ma è estremamente improbabile che un dizionario contenga
questo tipo di password.
Ricordiamoci che un attacker non ha alcuna informazione sul tipo di
password, sulla sua lunghezza, sul set di caratteri usati: in sostanza
lavora “alla cieca”.
Foggia, 5 marzo 2013 18
Danilo De Rogatis
19. Le password possono essere violate
Esistono diversi
metodi:
Password guessing
Shoulder Surfing
Sniffing
On-line attack
Off-line attack
Foggia, 5 marzo 2013 19
Danilo De Rogatis
20. Le password possono essere violate
...e svariati software:
John the Ripper
Hydra
Cain & Abel
Brutus
Ophcrack
Etc. etc...
Foggia, 5 marzo 2013 20
Danilo De Rogatis
21. Attacchi a dizionario
E' un attacco basato sull'utilizzo di wordlist
(dizionari) generate appositamente, disponibili
anche liberamente in rete.
Il set di caratteri utilizzato per costruire la wordlist è
fondamentale (alfanumerici, caratteri speciali,
maiuscole/minuscole, etc.).
Più il dizionario è “calzante” (ad es. come lingua
utilizzata) rispetto al servizio che si vuole
attaccare, più l'attacco ha migliori probabilità di
successo.
Foggia, 5 marzo 2013 21
Danilo De Rogatis
22. Rainbow tables
Per violare le password criptate (es. MD5, SHA1,
etc.) devo:
- criptare le password del mio dizionario
- confrontarle con quella da “crackare”
Finchè non trovo la password che “matcha”
Problema: perderei molto tempo.
Soluzione: utilizzare database detti rainbow tables
contenenti coppie del tipo <password in chiaro,
password criptata>, confrontando direttamente le
password criptate.
Foggia, 5 marzo 2013 22
Danilo De Rogatis
23. Consigli e best practices
Ricordate che per violare una password di 5 caratteri senza numeri,
lettere maiuscole e caratteri speciali ci vuole meno di 1 minuto. Per
6 caratteri bastano 50 minuti.
Evitiamo password uguali allo username, nomi e date di nascita dei figli,
nome del cane, della fidanzata, della squadra del cuore, parole del
dizionario (incluse le parolacce) e in genere qualsiasi informazione che
possa essere facilmente ricavata anche dai social networks o dai
motori di ricerca...
Cambiamo le password ogni 60/90 giorni.
Non condividiamole con altri utenti.
Usiamo password almeno di 10-12 caratteri, con almeno 1 numero, una
lettera maiuscola e 1 carattere speciale (es.|!%&@*§^ etc.). Più lunghe e
complesse sono, meglio è. Con una password di 10 caratteri, contenente
numeri, lettere e caratteri speciali, sono a posto per circa 21 milioni di
anni ma......
Foggia, 5 marzo 2013 23
Danilo De Rogatis
24. Ma...
...sempre se non me la scrivo su un Post-it™ (e
magari lo appiccico al monitor) !!
Foggia, 5 marzo 2013 24
Danilo De Rogatis
25. Un sito utile
https://www.grc.com/haystack.htm
Foggia, 5 marzo 2013 25
Danilo De Rogatis
26. These slides are written by Danilo De Rogatis and are subjected to Creative Commons Attribution-ShareAlike 3.0
Unported (CC BY-SA 3.0). You are free to copy, distribute, transmit, adapt, sell the work under the following conditions:
Attribution - You must cite the Author. Share Alike — If you alter, transform, or build upon this work, you may distribute
the resulting work only under the same or similar license to this one.
e
Grazie per l'attenzione!
http://www.linkedin.com/in/daniloderogatis
@DaniloDeRogatis
dderog@gmail.com
http://www.html.it/autore/daniloderogatis
https://www.facebook.com/danilo.derogatis
Foggia, 5 marzo 2013 26
Danilo De Rogatis