martedì 9 febbraio 2010

Si capiscono molte cose leggendo 32 milioni di password
[09 feb 10 08:05 by www.Dreambox.it]



La canzone recita "la verità ti fa male lo so", ma in questo caso porta anche un buon consiglio: scegli con cura le tue password.

Nel Dicembre del 2009, un attacco informatico al sito rockyou.com ha portato al furto di, ehm, circa 32 milioni di codici d'accesso, pubblicati poi online dai responsabili del gesto.

Mentre tre quarti di mondo gridava allo scandalo, c'è chi ha "approfittato" della situazione, mettendosi ad analizzare il lungo elenco e scoprendo che buona parte delle password erano tutto fuorché sicure. Fino a questo momento, infatti, gli studi sull'efficacia delle password erano basati su campioni ristretti, o semplici sondaggi, e quindi Imperva, società di sicurezza informatica, ha colto la palla per fare un lavoro come si deve. E ora pubblica i suoi risultati. E adesso a gridare allo scandalo, probabilmente, sono gli hacker.

Perché, se è vero che un hacker fa quel che fa (anche) per elevare i livelli di sicurezza della Rete, non può nulla di fronte a circa 16 milioni di utenti di un sito che scelgono come password delle parole comunissime o, addirittura, la sequenza 123456. Questo è il dato più preoccupante emerso dallo studio dei 32 milioni di password, il 50% delle quali, appunto, è basato su stringhe prevedibilissime. O comunque facilmente individuabili con un software di forza bruta, ossia un programma che genera password fino a trovare quelle giuste.

Il 30% delle password scoperte su rockyou.com ha una lunghezza uguale o inferiore ai sei caratteri (e questo facilita non poco il lavoro degli hacker), mentre il 60% utilizza caratteri alfanumerici molto comuni.

Pensa che, stando a Imperva, in queste condizioni un hacker impiega una media di 111 tentativi, e appena un secondo di tempo, prima di riuscire a impossessarsi di un account. Equivalenti a 1000 account "svelati" ogni 17 minuti. Tempi da record olimpico, non c'è che dire, basati sulla "Top 5000" delle password più utilizzate tra i famosi 32 milioni. Il primo posto è saldamente occupato da "123456", con 290731 "preferenze," seguito dalle 79078 per 123545 e dalle 76790 per il codice 123456789 (come dire che le dimensioni non contano, se si è banali). Ma, attenzione, al quarto posto troviamo anche "Password". Ben lungi dal volerti elencare tutte e 5000 le prime posizioni, ti basti sapere che al quinto posto si trova "iloveyou", al sesto "princess" e al settimo una fantastica e impensabile "rockyou". Ok, l'antifona l'hai capita. Sulla base dei dati rilevati non c'è da stupirsi se Imperva ha ben pensato di elargire qualche consiglio sulla scelta delle password. Niente di nuovo, in realtà (http://www.wired.it/news/archivio/2009-08/25/sicurezza-dei-dati-online.aspx), ma ricordare qualche sana regola è come dire che fumare fa male: non è mai sufficiente abbastanza. La password ideale, quindi...

1) Deve essere composta da almeno 8 caratteri. Più del 30% di quelle rubate ne conteneva meno di 6.

2) Deve essere un mix di quattro diversi tipi di caratteri: lettere maiuscole, lettere minuscole, numeri e caratteri speciali (per esempio !, @, #, $, %, ^ e così via). Più del 40% delle password rubate erano composte di sole lettere minuscole.

3) Vietato usare, come password, parole comuni, nomi, indirizzi e-mail o vocaboli presenti in un dizionario.

4) Imperva riprende un suggerimento di Bruce Schneier, uno dei massimi esperti di sicurezza al mondo: "prendi una frase e trasformala in password". Per esempio, "this little piggy went to the market" potrebbe diventare "tlpWENT2m". Ovvio, ora non usare proprio questa...

5) Usa una password diversa per ogni sito o servizio.

Fonte wired