SlideShare a Scribd company logo

Gestione Password

Danilo De Rogatis
Danilo De Rogatis

Seminario tenuto nell'ambito dell'evento "Sicurezza in Rete - Tecniche ed 'Internet-ional' Law". Università di Foggia, Dipartimento di Giurisprudenza.

Technology
1 of 26
Download to read offline
La gestione delle password Foggia, 5 marzo 2013 Danilo De Rogatis
# whoami Laurea in Informatica e Master in Sicurezza Informatica ed Investigazioni Digitali Responsabile Area Sistemi Informativi ed Innovazione Tecnologica dell’Università di Foggia OSSTMM Professional Security Tester Certified Docente in corsi mirati alla sicurezza informatica Ho fatto parte del Team di Sicurezza del G8 Summit 2009 che si è svolto in Abruzzo nel 2009 Security Evangelist & Infosec maniac :-) Autore di articoli sulla Sicurezza Informatica per HTML.IT: http://www.html.it/autore/daniloderogatis Clusit Member, IEEE Senior Member Foggia, 5 marzo 2013 2 Danilo De Rogatis
Obiettivi del talk Fornirvi un quadro generale dei problemi legati ai meccanismi di autenticazione, con particolare riferimento alle password. Fornirvi dei consigli per gestire le vostre password in modo più consapevole e sicuro. In generale, accrescere la vostra consapevolezza sui rischi legati ad una cattiva gestione delle password. Foggia, 5 marzo 2013 3 Danilo De Rogatis
AAA La gestione delle password fa parte di un sistema più generale denominato AAA e composto da tre fasi (le 3 “A”): Authentication - Gli utenti e gli amministratori devono dimostrare chi sono. L'autenticazione può essere stabilita tramite combinazioni di username e password, domande di challenge (sfida), token, e altri metodi. Authorization - Dopo che l'utente è stato autenticato, i servizi di autorizzazione individuano le risorse a cui l'utente può accedere e quali operazioni l'utente è autorizzato a svolgere. Accounting and auditing (tracciabilità) – Vengono registrate le azioni eseguite dagli utenti: a quali risorse si è potuto accedere, la quantità di tempo trascorsa su queste risorse, e le eventuali modifiche apportate. Foggia, 5 marzo 2013 4 Danilo De Rogatis
Concentriamoci sull'Autenticazione Può essere effettuata con diversi metodi, in generale il paradigma di riferimento è: • Qualcosa che so • Qualcosa che ho • Qualcosa che sono Ad esempio posso avere un'autenticazione a più fattori: Qualcosa che so: password Qualcosa che ho: una One Time Password generata da un device (es. security token come quello che ci forniscono le banche) Qualcosa che sono: biometria (impronta digitale, riconoscimento retina, etc.) Oltre allo username ovviamente. Foggia, 5 marzo 2013 5 Danilo De Rogatis
Obblighi di Legge D.Lgs. 196/2003 – Allegato B: Disciplinare tecnico in misure minime di sicurezza (Artt. da 33 a 36) prevede che: - il trattamento dei dati personali con strumenti elettronici venga effettuato mediante credenziali di autenticazione: userid/password o dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave; - parola chiave composta da almeno otto caratteri; - modificata almeno ogni 6 mesi (3 mesi per dati sensibili e giudiziari); - non riutilizzabile; - disattivata in caso di non utilizzo per almeno 6 mesi o in caso di furto/smarrimento/violazione etc. Decreto “Amministratori di Sistema” (27/11/2008 mod. 25/6/2009) Foggia, 5 marzo 2013 6 Danilo De Rogatis
Standard di riferimento In principio era la BS 7799:2: conteneva Linee Guida e Standard per la Gestione della Sicurezza delle Informazioni (SGSI). Le linee guida sono state recepite dall'ISO come ISO 17799 (Information Technology -Security Techniques - Code of practice for information security management), mentre lo standard vero e proprio è è stato emesso come ISO 27001:2006. Nel 2002 poi anche la norma 27001 è stata sostiutiuta dalla ISO27002:2007 Altri standard di di riferimento: PCI-DSS (Payment Card Industry – Data Security Standard) RFC 972 (Password Generator Protocol) ...e molti altri... Foggia, 5 marzo 2013 7 Danilo De Rogatis
I problemi legati alla gestione delle password Come scegliere le password? Come memorizzarle? Quanto devono essere lunghe? Quanto devono essere complesse? Ogni quanto tempo bisogna cambiarle? Posso riutilizzarle? Come proteggere le mie password? Le password sono violabili? Foggia, 5 marzo 2013 8 Danilo De Rogatis
I “falsi miti” legati alle password... “Eh, ma basta una password qualsiasi di almeno 6 caratteri...” “Beh, sai, io non ho nulla da nascondere...in ufficio le mie password le conoscono tutti...” “Ho lasciato la password di default...a chi vuoi che interessi il contenuto del mio PC o della mia casella di posta elettronica...” “Anche se mi rubano la password di posta elettronica non fa niente...non c'è nulla di compromettente nei miei messaggi..” “Non riesco a ricordare molte password, allora per non scrivermele uso la stessa per tutto...” Foggia, 5 marzo 2013 9 Danilo De Rogatis
Norton Cybercrime Report 2012 Foggia, 5 marzo 2013 10 Danilo De Rogatis
Norton Cybercrime Report 2012 Foggia, 5 marzo 2013 11 Danilo De Rogatis
Facciamo un piccolo test... Alzi la mano chi usa almeno una password più corta di 6 caratteri Foggia, 5 marzo 2013 12 Danilo De Rogatis
Facciamo un piccolo test... Alzi la mano chi usa la stessa password per almeno due tra le seguenti applicazioni: caselle e-mail, Facebook, Linkedin, Twitter, Dropbox e così via ... Foggia, 5 marzo 2013 13 Danilo De Rogatis
Facciamo un piccolo test... password Passw0rd Alzi la mano chi usa come Password1 password: 123456 - La propria data di nascita o 1234567 quella di moglie/fidanzata/figli qwerty - Il nome dell'animale preferito abc123 pippo - Una delle password listate qui a 696969 fianco (Linkedin disclosure) 123123 111111 … Foggia, 5 marzo 2013 14 Danilo De Rogatis
Quante mani alzate? Poche: o siete timidi o siete furbi (o tutt'e due...) Abbastanza: siete stati onesti Molte: “Houston, abbiamo un problema...!” :) Foggia, 5 marzo 2013 15 Danilo De Rogatis
“Oh My God!!” “Caspita...domattina devo assolutamente ricordarmi di cambiare le password!!” Foggia, 5 marzo 2013 16 Danilo De Rogatis
L'importanza di scegliere “buone” password La password è ancora il Santo Graal delle informazioni! Il “Key Factor” è ancora la sua lunghezza, più che la sua complessità. Ad esempio, quale delle due password seguenti ritenete sia più “sicura”? D0g..................... PrXyc.N(n4k77#L!eVdAfp9 Foggia, 5 marzo 2013 17 Danilo De Rogatis
L'importanza di scegliere “buone” password Probabilmente avete risposto la seconda... :-D In realtà è la prima Per individuare la prima password con un attacco brute-force è necessario un tempo di esecuzione 95 volte più lungo rispetto alla seconda. E se usiamo un attacco a dizionario? Non potrebbe essere presente nel dizionario? Certamente, ma è estremamente improbabile che un dizionario contenga questo tipo di password. Ricordiamoci che un attacker non ha alcuna informazione sul tipo di password, sulla sua lunghezza, sul set di caratteri usati: in sostanza lavora “alla cieca”. Foggia, 5 marzo 2013 18 Danilo De Rogatis
Le password possono essere violate Esistono diversi metodi: Password guessing Shoulder Surfing Sniffing On-line attack Off-line attack Foggia, 5 marzo 2013 19 Danilo De Rogatis
Le password possono essere violate ...e svariati software:  John the Ripper  Hydra  Cain & Abel  Brutus  Ophcrack  Etc. etc... Foggia, 5 marzo 2013 20 Danilo De Rogatis
Attacchi a dizionario E' un attacco basato sull'utilizzo di wordlist (dizionari) generate appositamente, disponibili anche liberamente in rete. Il set di caratteri utilizzato per costruire la wordlist è fondamentale (alfanumerici, caratteri speciali, maiuscole/minuscole, etc.). Più il dizionario è “calzante” (ad es. come lingua utilizzata) rispetto al servizio che si vuole attaccare, più l'attacco ha migliori probabilità di successo. Foggia, 5 marzo 2013 21 Danilo De Rogatis
Rainbow tables Per violare le password criptate (es. MD5, SHA1, etc.) devo: - criptare le password del mio dizionario - confrontarle con quella da “crackare” Finchè non trovo la password che “matcha” Problema: perderei molto tempo. Soluzione: utilizzare database detti rainbow tables contenenti coppie del tipo <password in chiaro, password criptata>, confrontando direttamente le password criptate. Foggia, 5 marzo 2013 22 Danilo De Rogatis
Consigli e best practices Ricordate che per violare una password di 5 caratteri senza numeri, lettere maiuscole e caratteri speciali ci vuole meno di 1 minuto. Per 6 caratteri bastano 50 minuti. Evitiamo password uguali allo username, nomi e date di nascita dei figli, nome del cane, della fidanzata, della squadra del cuore, parole del dizionario (incluse le parolacce) e in genere qualsiasi informazione che possa essere facilmente ricavata anche dai social networks o dai motori di ricerca... Cambiamo le password ogni 60/90 giorni. Non condividiamole con altri utenti. Usiamo password almeno di 10-12 caratteri, con almeno 1 numero, una lettera maiuscola e 1 carattere speciale (es.|!%&@*§^ etc.). Più lunghe e complesse sono, meglio è. Con una password di 10 caratteri, contenente numeri, lettere e caratteri speciali, sono a posto per circa 21 milioni di anni ma...... Foggia, 5 marzo 2013 23 Danilo De Rogatis
Ma... ...sempre se non me la scrivo su un Post-it™ (e magari lo appiccico al monitor) !! Foggia, 5 marzo 2013 24 Danilo De Rogatis
Un sito utile https://www.grc.com/haystack.htm Foggia, 5 marzo 2013 25 Danilo De Rogatis
These slides are written by Danilo De Rogatis and are subjected to Creative Commons Attribution-ShareAlike 3.0 Unported (CC BY-SA 3.0). You are free to copy, distribute, transmit, adapt, sell the work under the following conditions: Attribution - You must cite the Author. Share Alike — If you alter, transform, or build upon this work, you may distribute the resulting work only under the same or similar license to this one. e Grazie per l'attenzione! http://www.linkedin.com/in/daniloderogatis @DaniloDeRogatis dderog@gmail.com http://www.html.it/autore/daniloderogatis https://www.facebook.com/danilo.derogatis Foggia, 5 marzo 2013 26 Danilo De Rogatis

Recommended

Sviluppare un percorso di Trasformazione Digitale
Sviluppare un percorso di Trasformazione DigitaleSviluppare un percorso di Trasformazione Digitale
Sviluppare un percorso di Trasformazione Digitale
Nicola Mezzetti
 
Brute force-attack presentation
Brute force-attack presentationBrute force-attack presentation
Brute force-attack presentation
Mahmoud Ibra
 
Social engineering hacking attack
Social engineering hacking attackSocial engineering hacking attack
Social engineering hacking attack
Pankaj Dubey
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
Sanjana Agarwal
 
Information security awareness, middle management
Information security awareness, middle managementInformation security awareness, middle management
Information security awareness, middle management
haneen Emeir, CISA, ISO27001
 
Cyber security awareness training by cyber security infotech(csi)
Cyber security awareness training by cyber security infotech(csi)Cyber security awareness training by cyber security infotech(csi)
Cyber security awareness training by cyber security infotech(csi)
Cyber Security Infotech
 
Ransomware: Wannacry
Ransomware: WannacryRansomware: Wannacry
Ransomware: Wannacry
Mikel Solabarrieta
 
Cyber security awareness for end users
Cyber security awareness for end usersCyber security awareness for end users
Cyber security awareness for end users
NetWatcher
 

Recommended

Sviluppare un percorso di Trasformazione Digitale
Sviluppare un percorso di Trasformazione DigitaleSviluppare un percorso di Trasformazione Digitale
Sviluppare un percorso di Trasformazione Digitale
Nicola Mezzetti
 
Brute force-attack presentation
Brute force-attack presentationBrute force-attack presentation
Brute force-attack presentation
Mahmoud Ibra
 
Social engineering hacking attack
Social engineering hacking attackSocial engineering hacking attack
Social engineering hacking attack
Pankaj Dubey
 
Cybersecurity
CybersecurityCybersecurity
Cybersecurity
Sanjana Agarwal
 
Information security awareness, middle management
Information security awareness, middle managementInformation security awareness, middle management
Information security awareness, middle management
haneen Emeir, CISA, ISO27001
 
Cyber security awareness training by cyber security infotech(csi)
Cyber security awareness training by cyber security infotech(csi)Cyber security awareness training by cyber security infotech(csi)
Cyber security awareness training by cyber security infotech(csi)
Cyber Security Infotech
 
Ransomware: Wannacry
Ransomware: WannacryRansomware: Wannacry
Ransomware: Wannacry
Mikel Solabarrieta
 
Cyber security awareness for end users
Cyber security awareness for end usersCyber security awareness for end users
Cyber security awareness for end users
NetWatcher
 
Cyber security
Cyber securityCyber security
Cyber security
Bhavin Shah
 
Building An Information Security Awareness Program
Building An Information Security Awareness ProgramBuilding An Information Security Awareness Program
Building An Information Security Awareness Program
Bill Gardner
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineering
primeteacher32
 
Cyber Kill Chain.pptx
Cyber Kill Chain.pptxCyber Kill Chain.pptx
Cyber Kill Chain.pptx
Vivek Chauhan
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
Hyphenet Security Awareness Training
Hyphenet Security Awareness TrainingHyphenet Security Awareness Training
Hyphenet Security Awareness Training
Jen Ruhman
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informatica
Enrico La Sala
 
Soc analyst course content
Soc analyst course contentSoc analyst course content
Soc analyst course content
ShivamSharma909
 
Supply chain-attack
Supply chain-attackSupply chain-attack
Supply chain-attack
vikram vashisth
 
Security Awareness Training by Fortinet
Security Awareness Training by FortinetSecurity Awareness Training by Fortinet
Security Awareness Training by Fortinet
Atlantic Training, LLC.
 
Insider threat kill chain
Insider threat kill chainInsider threat kill chain
Insider threat kill chain
Tarun Gupta,CRISC CISSP CISM CISA BCCE
 
Mitre Attack - Credential Dumping - updated.pptx
Mitre Attack - Credential Dumping - updated.pptxMitre Attack - Credential Dumping - updated.pptx
Mitre Attack - Credential Dumping - updated.pptx
waizuq
 
La cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiLa cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei dati
Vincenzo Calabrò
 
How To Build An Incident Response Function
How To Build An Incident Response FunctionHow To Build An Incident Response Function
How To Build An Incident Response Function
Resilient Systems
 
So you want to be a red teamer
So you want to be a red teamerSo you want to be a red teamer
So you want to be a red teamer
Jorge Orchilles
 
Cyber Threat Intel : Overview
Cyber Threat Intel : OverviewCyber Threat Intel : Overview
Cyber Threat Intel : Overview
Deepak Kumar (D3)
 
WannaCry / Wannacrypt Ransomware
WannaCry / Wannacrypt RansomwareWannaCry / Wannacrypt Ransomware
WannaCry / Wannacrypt Ransomware
Ayoub Rouzi
 
Understanding ransomware
Understanding ransomwareUnderstanding ransomware
Understanding ransomware
Prathan Phongthiproek
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
Marco Ferrigno
 
I pericoli di Internet
I pericoli di InternetI pericoli di Internet
I pericoli di Internet
Matteo Fortini
 
Sesta parte sicurezza_in_rete
Sesta parte sicurezza_in_reteSesta parte sicurezza_in_rete
Sesta parte sicurezza_in_rete
Zilli Emilio
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
Luca Moroni ✔✔
 

More Related Content

What's hot

How To Build An Incident Response Function
How To Build An Incident Response FunctionHow To Build An Incident Response Function
How To Build An Incident Response Function
Resilient Systems
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
Marco Ferrigno
 

What's hot (20)

Cyber security
Cyber securityCyber security
Cyber security
 
Building An Information Security Awareness Program
Building An Information Security Awareness ProgramBuilding An Information Security Awareness Program
Building An Information Security Awareness Program
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineering
 
Cyber Kill Chain.pptx
Cyber Kill Chain.pptxCyber Kill Chain.pptx
Cyber Kill Chain.pptx
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Hyphenet Security Awareness Training
Hyphenet Security Awareness TrainingHyphenet Security Awareness Training
Hyphenet Security Awareness Training
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informatica
 
Soc analyst course content
Soc analyst course contentSoc analyst course content
Soc analyst course content
 
Supply chain-attack
Supply chain-attackSupply chain-attack
Supply chain-attack
 
Security Awareness Training by Fortinet
Security Awareness Training by FortinetSecurity Awareness Training by Fortinet
Security Awareness Training by Fortinet
 
Insider threat kill chain
Insider threat kill chainInsider threat kill chain
Insider threat kill chain
 
Mitre Attack - Credential Dumping - updated.pptx
Mitre Attack - Credential Dumping - updated.pptxMitre Attack - Credential Dumping - updated.pptx
Mitre Attack - Credential Dumping - updated.pptx
 
La cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiLa cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei dati
 
How To Build An Incident Response Function
How To Build An Incident Response FunctionHow To Build An Incident Response Function
How To Build An Incident Response Function
 
So you want to be a red teamer
So you want to be a red teamerSo you want to be a red teamer
So you want to be a red teamer
 
Cyber Threat Intel : Overview
Cyber Threat Intel : OverviewCyber Threat Intel : Overview
Cyber Threat Intel : Overview
 
WannaCry / Wannacrypt Ransomware
WannaCry / Wannacrypt RansomwareWannaCry / Wannacrypt Ransomware
WannaCry / Wannacrypt Ransomware
 
Understanding ransomware
Understanding ransomwareUnderstanding ransomware
Understanding ransomware
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
 
I pericoli di Internet
I pericoli di InternetI pericoli di Internet
I pericoli di Internet
 

Viewers also liked

Sesta parte sicurezza_in_rete
Sesta parte sicurezza_in_reteSesta parte sicurezza_in_rete
Sesta parte sicurezza_in_rete
Zilli Emilio
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza Informatica
Mario Varini
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridica
Council of Europe
 

Viewers also liked (8)

Sesta parte sicurezza_in_rete
Sesta parte sicurezza_in_reteSesta parte sicurezza_in_rete
Sesta parte sicurezza_in_rete
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza Software
 
Rete, social network e sicurezza; quando gli alunni vanno in rete, uso consap...
Rete, social network e sicurezza; quando gli alunni vanno in rete, uso consap...Rete, social network e sicurezza; quando gli alunni vanno in rete, uso consap...
Rete, social network e sicurezza; quando gli alunni vanno in rete, uso consap...
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza Informatica
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT Security
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridica
 
Slideshare ppt
Slideshare pptSlideshare ppt
Slideshare ppt
 

Similar to Gestione Password

Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amato
Gianni Amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012
Gianni Amato
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
walk2talk srl
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2
Andrea Barilli
 

Similar to Gestione Password (20)

Social Media Web & Smart Apps
Social Media Web & Smart AppsSocial Media Web & Smart Apps
Social Media Web & Smart Apps
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologia
 
Linux, sicurezza & social hacking
Linux, sicurezza & social hackingLinux, sicurezza & social hacking
Linux, sicurezza & social hacking
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 
Personal Cybersecurity
Personal CybersecurityPersonal Cybersecurity
Personal Cybersecurity
 
DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015DOCFLOW Personal Cybersecurity 2015
DOCFLOW Personal Cybersecurity 2015
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 
Acciaio ...inux!
Acciaio ...inux!Acciaio ...inux!
Acciaio ...inux!
 
Sicurezza e open source
Sicurezza e open sourceSicurezza e open source
Sicurezza e open source
 
Sicurezza e software libero
Sicurezza e software liberoSicurezza e software libero
Sicurezza e software libero
 
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
 
Come Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdfCome Ripristinare File Criptati Da Un Ransomware.pdf
Come Ripristinare File Criptati Da Un Ransomware.pdf
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012
 
Identità digitale e sicurezza
Identità digitale e sicurezzaIdentità digitale e sicurezza
Identità digitale e sicurezza
 
Identità, consapevolezza e competenze digitali (30gen2018)
Identità, consapevolezza e competenze digitali (30gen2018)Identità, consapevolezza e competenze digitali (30gen2018)
Identità, consapevolezza e competenze digitali (30gen2018)
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Doxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdf
Doxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdfDoxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdf
Doxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdf
 

Gestione Password

  • 1. La gestione delle password Foggia, 5 marzo 2013 Danilo De Rogatis
  • 2. # whoami Laurea in Informatica e Master in Sicurezza Informatica ed Investigazioni Digitali Responsabile Area Sistemi Informativi ed Innovazione Tecnologica dell’Università di Foggia OSSTMM Professional Security Tester Certified Docente in corsi mirati alla sicurezza informatica Ho fatto parte del Team di Sicurezza del G8 Summit 2009 che si è svolto in Abruzzo nel 2009 Security Evangelist & Infosec maniac :-) Autore di articoli sulla Sicurezza Informatica per HTML.IT: http://www.html.it/autore/daniloderogatis Clusit Member, IEEE Senior Member Foggia, 5 marzo 2013 2 Danilo De Rogatis
  • 3. Obiettivi del talk Fornirvi un quadro generale dei problemi legati ai meccanismi di autenticazione, con particolare riferimento alle password. Fornirvi dei consigli per gestire le vostre password in modo più consapevole e sicuro. In generale, accrescere la vostra consapevolezza sui rischi legati ad una cattiva gestione delle password. Foggia, 5 marzo 2013 3 Danilo De Rogatis
  • 4. AAA La gestione delle password fa parte di un sistema più generale denominato AAA e composto da tre fasi (le 3 “A”): Authentication - Gli utenti e gli amministratori devono dimostrare chi sono. L'autenticazione può essere stabilita tramite combinazioni di username e password, domande di challenge (sfida), token, e altri metodi. Authorization - Dopo che l'utente è stato autenticato, i servizi di autorizzazione individuano le risorse a cui l'utente può accedere e quali operazioni l'utente è autorizzato a svolgere. Accounting and auditing (tracciabilità) – Vengono registrate le azioni eseguite dagli utenti: a quali risorse si è potuto accedere, la quantità di tempo trascorsa su queste risorse, e le eventuali modifiche apportate. Foggia, 5 marzo 2013 4 Danilo De Rogatis
  • 5. Concentriamoci sull'Autenticazione Può essere effettuata con diversi metodi, in generale il paradigma di riferimento è: • Qualcosa che so • Qualcosa che ho • Qualcosa che sono Ad esempio posso avere un'autenticazione a più fattori: Qualcosa che so: password Qualcosa che ho: una One Time Password generata da un device (es. security token come quello che ci forniscono le banche) Qualcosa che sono: biometria (impronta digitale, riconoscimento retina, etc.) Oltre allo username ovviamente. Foggia, 5 marzo 2013 5 Danilo De Rogatis
  • 6. Obblighi di Legge D.Lgs. 196/2003 – Allegato B: Disciplinare tecnico in misure minime di sicurezza (Artt. da 33 a 36) prevede che: - il trattamento dei dati personali con strumenti elettronici venga effettuato mediante credenziali di autenticazione: userid/password o dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave; - parola chiave composta da almeno otto caratteri; - modificata almeno ogni 6 mesi (3 mesi per dati sensibili e giudiziari); - non riutilizzabile; - disattivata in caso di non utilizzo per almeno 6 mesi o in caso di furto/smarrimento/violazione etc. Decreto “Amministratori di Sistema” (27/11/2008 mod. 25/6/2009) Foggia, 5 marzo 2013 6 Danilo De Rogatis
  • 7. Standard di riferimento In principio era la BS 7799:2: conteneva Linee Guida e Standard per la Gestione della Sicurezza delle Informazioni (SGSI). Le linee guida sono state recepite dall'ISO come ISO 17799 (Information Technology -Security Techniques - Code of practice for information security management), mentre lo standard vero e proprio è è stato emesso come ISO 27001:2006. Nel 2002 poi anche la norma 27001 è stata sostiutiuta dalla ISO27002:2007 Altri standard di di riferimento: PCI-DSS (Payment Card Industry – Data Security Standard) RFC 972 (Password Generator Protocol) ...e molti altri... Foggia, 5 marzo 2013 7 Danilo De Rogatis
  • 8. I problemi legati alla gestione delle password Come scegliere le password? Come memorizzarle? Quanto devono essere lunghe? Quanto devono essere complesse? Ogni quanto tempo bisogna cambiarle? Posso riutilizzarle? Come proteggere le mie password? Le password sono violabili? Foggia, 5 marzo 2013 8 Danilo De Rogatis
  • 9. I “falsi miti” legati alle password... “Eh, ma basta una password qualsiasi di almeno 6 caratteri...” “Beh, sai, io non ho nulla da nascondere...in ufficio le mie password le conoscono tutti...” “Ho lasciato la password di default...a chi vuoi che interessi il contenuto del mio PC o della mia casella di posta elettronica...” “Anche se mi rubano la password di posta elettronica non fa niente...non c'è nulla di compromettente nei miei messaggi..” “Non riesco a ricordare molte password, allora per non scrivermele uso la stessa per tutto...” Foggia, 5 marzo 2013 9 Danilo De Rogatis
  • 10. Norton Cybercrime Report 2012 Foggia, 5 marzo 2013 10 Danilo De Rogatis
  • 11. Norton Cybercrime Report 2012 Foggia, 5 marzo 2013 11 Danilo De Rogatis
  • 12. Facciamo un piccolo test... Alzi la mano chi usa almeno una password più corta di 6 caratteri Foggia, 5 marzo 2013 12 Danilo De Rogatis
  • 13. Facciamo un piccolo test... Alzi la mano chi usa la stessa password per almeno due tra le seguenti applicazioni: caselle e-mail, Facebook, Linkedin, Twitter, Dropbox e così via ... Foggia, 5 marzo 2013 13 Danilo De Rogatis
  • 14. Facciamo un piccolo test... password Passw0rd Alzi la mano chi usa come Password1 password: 123456 - La propria data di nascita o 1234567 quella di moglie/fidanzata/figli qwerty - Il nome dell'animale preferito abc123 pippo - Una delle password listate qui a 696969 fianco (Linkedin disclosure) 123123 111111 … Foggia, 5 marzo 2013 14 Danilo De Rogatis
  • 15. Quante mani alzate? Poche: o siete timidi o siete furbi (o tutt'e due...) Abbastanza: siete stati onesti Molte: “Houston, abbiamo un problema...!” :) Foggia, 5 marzo 2013 15 Danilo De Rogatis
  • 16. “Oh My God!!” “Caspita...domattina devo assolutamente ricordarmi di cambiare le password!!” Foggia, 5 marzo 2013 16 Danilo De Rogatis
  • 17. L'importanza di scegliere “buone” password La password è ancora il Santo Graal delle informazioni! Il “Key Factor” è ancora la sua lunghezza, più che la sua complessità. Ad esempio, quale delle due password seguenti ritenete sia più “sicura”? D0g..................... PrXyc.N(n4k77#L!eVdAfp9 Foggia, 5 marzo 2013 17 Danilo De Rogatis
  • 18. L'importanza di scegliere “buone” password Probabilmente avete risposto la seconda... :-D In realtà è la prima Per individuare la prima password con un attacco brute-force è necessario un tempo di esecuzione 95 volte più lungo rispetto alla seconda. E se usiamo un attacco a dizionario? Non potrebbe essere presente nel dizionario? Certamente, ma è estremamente improbabile che un dizionario contenga questo tipo di password. Ricordiamoci che un attacker non ha alcuna informazione sul tipo di password, sulla sua lunghezza, sul set di caratteri usati: in sostanza lavora “alla cieca”. Foggia, 5 marzo 2013 18 Danilo De Rogatis
  • 19. Le password possono essere violate Esistono diversi metodi: Password guessing Shoulder Surfing Sniffing On-line attack Off-line attack Foggia, 5 marzo 2013 19 Danilo De Rogatis
  • 20. Le password possono essere violate ...e svariati software:  John the Ripper  Hydra  Cain & Abel  Brutus  Ophcrack  Etc. etc... Foggia, 5 marzo 2013 20 Danilo De Rogatis
  • 21. Attacchi a dizionario E' un attacco basato sull'utilizzo di wordlist (dizionari) generate appositamente, disponibili anche liberamente in rete. Il set di caratteri utilizzato per costruire la wordlist è fondamentale (alfanumerici, caratteri speciali, maiuscole/minuscole, etc.). Più il dizionario è “calzante” (ad es. come lingua utilizzata) rispetto al servizio che si vuole attaccare, più l'attacco ha migliori probabilità di successo. Foggia, 5 marzo 2013 21 Danilo De Rogatis
  • 22. Rainbow tables Per violare le password criptate (es. MD5, SHA1, etc.) devo: - criptare le password del mio dizionario - confrontarle con quella da “crackare” Finchè non trovo la password che “matcha” Problema: perderei molto tempo. Soluzione: utilizzare database detti rainbow tables contenenti coppie del tipo <password in chiaro, password criptata>, confrontando direttamente le password criptate. Foggia, 5 marzo 2013 22 Danilo De Rogatis
  • 23. Consigli e best practices Ricordate che per violare una password di 5 caratteri senza numeri, lettere maiuscole e caratteri speciali ci vuole meno di 1 minuto. Per 6 caratteri bastano 50 minuti. Evitiamo password uguali allo username, nomi e date di nascita dei figli, nome del cane, della fidanzata, della squadra del cuore, parole del dizionario (incluse le parolacce) e in genere qualsiasi informazione che possa essere facilmente ricavata anche dai social networks o dai motori di ricerca... Cambiamo le password ogni 60/90 giorni. Non condividiamole con altri utenti. Usiamo password almeno di 10-12 caratteri, con almeno 1 numero, una lettera maiuscola e 1 carattere speciale (es.|!%&@*§^ etc.). Più lunghe e complesse sono, meglio è. Con una password di 10 caratteri, contenente numeri, lettere e caratteri speciali, sono a posto per circa 21 milioni di anni ma...... Foggia, 5 marzo 2013 23 Danilo De Rogatis
  • 24. Ma... ...sempre se non me la scrivo su un Post-it™ (e magari lo appiccico al monitor) !! Foggia, 5 marzo 2013 24 Danilo De Rogatis
  • 25. Un sito utile https://www.grc.com/haystack.htm Foggia, 5 marzo 2013 25 Danilo De Rogatis
  • 26. These slides are written by Danilo De Rogatis and are subjected to Creative Commons Attribution-ShareAlike 3.0 Unported (CC BY-SA 3.0). You are free to copy, distribute, transmit, adapt, sell the work under the following conditions: Attribution - You must cite the Author. Share Alike — If you alter, transform, or build upon this work, you may distribute the resulting work only under the same or similar license to this one. e Grazie per l'attenzione! http://www.linkedin.com/in/daniloderogatis @DaniloDeRogatis dderog@gmail.com http://www.html.it/autore/daniloderogatis https://www.facebook.com/danilo.derogatis Foggia, 5 marzo 2013 26 Danilo De Rogatis