ERROR: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' active_time = 1508449280, active_ip = '54.166.245.10', act' at line 2
---
REPLACE INTO it_active SET active_id = , active_time = 1508449280, active_ip = '54.166.245.10', active_user_agent = 'CCBot/2.0 (http://commoncrawl.org/faq/)', active_session = 'bj44fvbbm9mcq6n0fterm4alb2'
---
ERROR: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') ORDER BY comment_date ASC' at line 3
---
SELECT * FROM it_comments, it_users WHERE user_id = comment_author_id AND comment_topic = 172019 AND comment_type = 'articles' AND (comment_state = 1 OR comment_author_id = ) ORDER BY comment_date ASC
---
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') ORDER BY comment_date ASC' at line 3 Le password complesse sono sorpassate?


Article Marketing » Computer » Sicurezza » Le password complesse sono sorpassate?



Le password complesse sono sorpassate?


Preleva il codice html | PDF | Stampa
scritto da: SABMCS - Visite: 0 - Numero di parole: 1739 - Data: 5 Sep 2017 - Ora: 2:04 PM 0 commenti




Bochum, 5 settembre 2017 - Qualche giorno fa, un funzionario dell'Istituto Nazionale degli Standard e delle Tecnologie (NIST) americano, oggi in pensione, ci ha sorpresi: si è scusato pubblicamente per un documento che scrisse nel 2003. Il documento conteneva raccomandazioni per rendere le password più robuste, raccomandazioni seguite da innumerevoli organizzazioni e piattaforme online. All’atto pratico però gli utenti non possono (e non vogliono) ricordare una password sicura basata su tali parametri, ad esempio "yxc^Vo!["$§oAIS@nrvkeu}ih5tK.-n27\fd ". E anche se potessero, password così composte non contribuiscono minimamente alla sicurezza. Se un certo insieme di criteri per la composizione di una password sicura è noto, un computer può infatti scartare interi gruppi di potenziali password. Se si suppone che una password abbia una lunghezza massima di 16 caratteri e che il primo carattere non sia un carattere speciale, si escludono automaticamente un paio di milioni di combinazioni. Se il sistema sa che la password contiene solo un carattere speciale (ove ad esempio spazi o dieresi non sono consentiti), si riduce ulteriormente il numero di possibili combinazioni. Dizionari e “tabelle arcobaleno” semplificano ulteriormente l'attività di un computer. La costante riduzione dei costi necessari per incrementare la potenza di calcolo dei sistemi è un ulteriore motivo a favore di una totale revisione delle regole attuali. L’uomo semplifica Le linee guida implementate nelle aziende per la creazione di nuove password sono motivo di frustrazione per i dipendenti su scala globale. Obbligati a cambiare la password a intervalli regolari, gli utenti devono spesso seguire criteri quali:

- Lunghezza di almeno 8 caratteri  - Alcune piattaforme definiscono anche la lunghezza massima della password (16 caratteri) o la tipologia di determinati caratteri, ad esempio "il primo carattere non può essere un carattere speciale"

- Giusto mix di lettere maiuscole e minuscole

- La password deve contenere almeno un carattere speciale e una cifra; non sono ammessi spazi

- E’ vietato riutilizzare una password impiegata negli ultimi 12 mesi

Se da un lato lo scopo primario del documento era quello di sbarazzarsi di password troppo facili da indovinare sostituendole con password più forti e complesse quindi meno decifrabili, dall’altro gli esseri umani tendono a semplificarsi la vita: "P@$$w0rd" ad esempio è una password lunga 8 caratteri, contiene lettere maiuscole e minuscole, tre caratteri speciali e una cifra, parametri che soddisfano tutte le linee guida di sicurezza. Dopo tre settimane viene chiesto all’utente di cambiare la password. Sempre volendo semplificare le cose, l’utente reitera la password con una variazione minima, "P@$$w0rd2". Tre settimane dopo sarà "P@$$w0rd3", e così via. Questa procedura, unitamente alle linee guida di cui sopra, ha dato origine a password che sono davvero difficili da gestire per gli esseri umani, ma facilmente individuabili per un computer.

 

Qual è la novità?

 

Il documento aggiornato propone modifiche che paiono musica per le orecchie di coloro che hanno lottato tutta la vita con password complesse. Si pone l’accento sull'uso di password facilmente memorizzabili. Le stesse dovrebbero comunque avere almeno 8 caratteri e si raccomanda una lunghezza massima di 64 caratteri. Ciò elimina a priori messaggi come "la password non può essere più lunga di X caratteri”. Alcuni caratteri non permessi in passato - come gli spazi - adesso potrebbero essere consentiti. Anche l’obbligo di modificare una password dopo un certo tempo sarebbe, secondo il NIST, una pratica sorpassata. La variazione della password dovrebbe aver luogo solo se sussiste motivo di credere che una password sia stata compromessa o su richiesta dell'utente, qualora l’abbia persa / dimenticata. Oltre a ciò, è consigliata l'autenticazione a più fattori. Sebbene sia una prassi consolidata in molte aziende, non si può ancora dire che sia stata adottata su larga scala. Alcune piattaforme online offrono anche la "verifica in due passaggi" per l'accesso a un account. La verifica consta dell’inserimento di nome utente e password e di un codice monouso generato da un'apposita applicazione. In ogni caso, l’utente necessita di diversi elementi per poter accedere a una risorsa o a un account. Tuttavia l'uso di messaggi testuali (SMS) come mezzo per trasmettere il secondo fattore di autenticazione è sconsigliato a fronte dei dubbi in merito all’effettiva sicurezza di tale strumento.    

 

Cosa significano queste raccomandazioni per utenti e operatori?

 

È importante menzionare che sebbene le pubblicazioni NIST contengono raccomandazioni non vincolanti giuridicamente, queste sono seguite da molti operatori. Fino a quando le nuove linee guida non saranno implementate, gli utenti non noteranno alcuna differenza. Molti provider e amministratori di sistema continueranno a fare affidamento sull'autenticazione classica con nome utente e la password. Ci aspettiamo però che l’autenticazione a più fattori venga utilizzata con maggior frequenza rispetto a oggi – soprattutto da parte dei maggiori operatori. 

Alcune delle regole ferree attualmente in uso per la composizione di una password potrebbero ammorbidirsi.

 

Lato operatori, le nuove linee guida chiariscono che una corretta protezione dell'account non è compito da demandarsi esclusivamente all'utente, perché se una password viene compromessa tramite phishing, è irrilevante quanto fosse robusta. Anche i provider sono quindi tenuti a fare uno sforzo. Invece di costringere gli utenti a mettere a punto password sempre più complesse dovrebbero tutelare efficacemente gli account aumentando la sicurezza lato server e introducendo metodi di autenticazione alternativi o aggiuntivi. Ricevere la password che abbiamo impostato noi stessi cliccando sul link "password dimenticata" è un chiaro indicatore che il fornitore non protegge le password correttamente. Anche avvalersi di una cifratura debole è errato: l’hardware utilizzato per irrompere nei dati crittografati e decifrare algoritmi di hashing deboli, come quelli impiegati da LinkedIn tempo fa, può produrre miliardi di combinazioni al secondo fino a trovare una corrispondenza.

 

La ricetta per (password) sicure: "Hashing, salatura, allungamento"

 

L'hashing non è uguale alla crittografia, sebbene si ritengano spesso strumenti intercambiabili. La crittografia è sempre reversibile, cioè il testo originale può essere sempre decriptato e recuperato in modo affidabile in base a funzioni matematiche ben definite. L’hashing invece è un processo matematico a senso unico: non sarà possibile ricostruire il testo originario una volta condotto il processo. Fenomeni come la "collisione hash", dove una sequenza di caratteri produce lo stesso hash del testo originario, non corrisponde affatto al recupero della password. L’hashing è uno dei fronti su cui devono lavorare gli operatori. Per assicurarsi accesso ad una password, i cybercriminali si avvalgono delle cosiddette tabelle arcobaleno. Spiegato in soldoni, queste tabelle contengono gli hash di password note come "123456" o "asdfghjkl". Queste tabelle rendono un attacco molto economico in termini di potenza di calcolo, poiché tutto ciò che il computer deve fare è confrontare elenchi di hash. Fermandosi quindi al mero hashing risulta ovvio che le tabelle arcobaleno sono in grado di far implodere l’intero processo. Per questo motivo, nei sistemi più moderni, gli hash sono corredati di una serie di caratteri casuali (la “salatura”) aggiunti alla password originaria e diversi per ogni hash, rendendo l'utilizzo delle tabelle arcobaleno economicamente impraticabile o del tutto inefficace. Un hash “salato” può infine essere "allungato" passandolo migliaia di volte attraverso un processo matematico chiamato "PBKDF2", che complica ulteriormente il tentativo di ricostruire la password. Più spesso viene eseguito il processo, più è difficile recuperare la password. Aumentando il numero di volte in cui viene eseguita la funzione PBKDF2 si esclude la necessità di dover ridisegnare l'intero sistema. La cancellazione di una password va infine condotta utilizzando solo metodi sicuri, tra cui ad esempio HMAC, CMAC o SHA-3. L'unico obiettivo di tutte queste misure è quello di rendere qualsiasi attacco a una password il più dispendioso possibile per qualsiasi criminale. Se un intruso dovrà fare uno sforzo sproporzionato per compromettere una singola password, nel 99% dei casi si asterrà da tale pratica e ricorrerà ad altri metodi come il phishing.

 

Quale password devo utilizzare allora?

 

Se si è abituati ad utilizzare solo password complesse e non ci si sente a proprio agio con nessuna altra formulazione, non è obbligatorio cambiare radicalmente le proprie abitudini, sarà sufficiente non cambiare la password a intervalli regolari. Per tutti gli altri tutto è possibile. Se lo si desidera, è possibile utilizzare intere frasi, inclusi spazi vuoti e altri caratteri speciali - in altre parole, è possibile utilizzare una frase d’accesso, sufficientemente lunga per dar filo da torcere ad eventuali criminali ma non troppo, per non dimenticarla. Tenendo quindi per buona la lunghezza minima di 8 caratteri, ci sono infinite possibili variazioni a portata di essere umano.

Per coloro che già si stanno rallegrando e pensano "finalmente, non ci saranno più password incomprensibili, c'è ancora un piccolo intralcio: password come la data del compleanno, "123456", "abcdef", "aaaaaaa" o "qwertzuiop" rappresentano ancora una pessima scelta e sono spesso inserite nella blacklist da operatori o amministratori di sistema. La regola di non usare la stessa password per più scopi (ad esempio e-mail, social media e negozi online) è sempre valida. Per ogni servizio bisognerebbe impiegare una password o frase d’accesso differente. Se disponibile, sarebbe opportuno attivare un secondo metodo di autenticazione. Per tenere traccia di tutte le password, un gestore di password rimane comunque uno strumento utile.

 

Quattro suggerimenti per proteggere il proprio account account

 

Se una piattaforma ha implementato le nuove raccomandazioni, ci sono alcuni semplici suggerimenti che consentono di aumentare la sicurezza dell'account:

- Utilizzare una frase d’accesso sufficientemente lunga ad esempio "1StranoGioco – laMossaVincente è NonGiocare!" - noterete che questa ha una lunghezza di 44 caratteri, contiene caratteri speciali ed è facile da ricordare

- Se disponibile abilitare l'autenticazione a più fattori

- Non riutilizzare mai una frase d’accesso per più account

- Utilizzare un password manager



Note biografiche dell'autore

La sicurezza IT è nata in Germania: G DATA Software AG viene considerata a pieno titolo l'inventore dei software antivirus. L'azienda, fondata nel 1985 a Bochum sviluppò oltre 30 anni fa il primo programma contro la diffusione dei virus informatici. Oggi, G DATA è uno dei principali fornitori al mondo di soluzioni per la sicurezza IT.

Numerosi test mirati condotti sia in Germania sia da organizzazioni rinomate a livello internazionale oltre che test comparativi condotti da riviste specialistiche indipendenti hanno dimostrato che la IT security "Made in Germany" offre agli utenti di Internet la miglior protezione possibile.  Nel marzo 2017 la soluzione ha ottenuto per il decimo anno consecutivo un’eccellente valutazione per la rilevazione dei virus da Stiftung Warentest.

Inoltre, per il secondo anno consecutivo, G DATA è partner tecnico di Ducati Corse per la MotoGP ed ha il compito di proteggere i sistemi IT di pista del team Ducati

Il portafoglio prodotti G DATA comprende soluzioni di sicurezza sia per privati, sia per le aziende, dalle PMI alle grandi imprese. Le soluzioni di sicurezza di G DATA sono disponibili in oltre 90 Paesi di tutto il mondo.

Ulteriori informazioni su G DATA e sulle soluzioni di sicurezza sono consultabili sul sito www.gdata.it



Pubblica e condividi questo articolo

Per pubblicare questo articolo sul tuo sito o blog clicca qui per prelevare il codicie HTML
Ricorda: il corpo dell'articolo, il titolo, Note biografiche dell'autore e i link non possono essere né cambiati né rimossi. Per pubblicare questo articolo devi aver letto ed accettato i termini del servizio.


Rating: Nessun voto espresso
Per votare effettua il login

Commenti

Nessun commento.

Invia un commento

Per inviare un commento devi prima effettuare il login.










Social Bookmark
Bookmark to: Mr. Wong Bookmark to: Webnews Bookmark to: Icio Bookmark to: Oneview Bookmark to: Linkarena Bookmark to: Favoriten Bookmark to: Seekxl Bookmark to: Kledy.de Bookmark to: Social Bookmarking Tool Bookmark to: BoniTrust Bookmark to: Power Oldie Bookmark to: Bookmarks.cc Bookmark to: Favit Bookmark to: Bookmarks.at Bookmark to: Shop-Bookmarks Bookmark to: Seoigg Bookmark to: Newsider Bookmark to: Linksilo Bookmark to: Readster Bookmark to: Folkd Bookmark to: Yigg Bookmark to: Digg Bookmark to: Del.icio.us Bookmark to: Facebook Bookmark to: Reddit Bookmark to: Jumptags Bookmark to: Simpy Bookmark to: StumbleUpon Bookmark to: Slashdot Bookmark to: Propeller Bookmark to: Furl Bookmark to: Yahoo Bookmark to: Spurl Bookmark to: Google Bookmark to: Blinklist Bookmark to: Blogmarks Bookmark to: Diigo Bookmark to: Technorati Bookmark to: Newsvine Bookmark to: Blinkbits Bookmark to: Ma.Gnolia Bookmark to: Smarking Bookmark to: Netvouz

Statistiche

Categorie presenti: 0
Articoli totali: 8951
Autori iscritti: 19810
0 utenti online.

Copyright © 2017 article-marketing.biz - Tutti i diritti riservati - Powered by link UP Europe! P.IVA 09257531005
Associazione Culturale per l'uso didattico ed etico dell'informatica
Sede legale: Via Pietro Rovetti, 190 - 00177 - ROMA