Ogni giorno sento un cliente che si lamenta per il fatto di doversi inventare una password da associare ad un nuovo servizio online.

Posta elettronica, portali di e-commerce, servizi web dei più disparati.

Eccheppalle tutte ste password da ricordarsi!

Ogni giorno una password nuova…

Io uso la stessa per tutto, almeno sono sicuro di ricordarmela!

Eh no, è la scelta più sbagliata che tu possa fare.
I tipici sistemi di violazione di una password si basano, principalmente, su due tecniche:

• Attacco di tipo brute-force (o a forza bruta);

• Attacco di tipo a dizionario.
  Vediamo con un’analisi molto semplificata la differenza tra i due attacchi.

Cos’è un attacco a dizionario?

Con un attacco a dizionario, in pratica, chi cerca di carpire la password utilizza un file contenente migliaia di password “tipiche” e cerca di accedere utilizzandole.

In rete si trovano dei file di dizionario già pronti che possono essere scaricati ed utilizzati in pochi minuti.

Utilizzare una password che non sia una parola di senso compiuto riduce la vulnera- bilità da un attacco di questo tipo.

Immagina di utilizzare la parola “albero” come password del tuo sistema. Ovviamente è più probabile che questa parola sia presente in un file dizionario, rispetto ad una password tipo “plkngf”.

Entrambe sono password di 6 caratteri, ma la probabilità di indovinarle con un attac- co a dizionario è più elevata per la parola di senso compiuto.

Tieni presente che nei file dizionario sono presenti anche quelle password che sono considerate “standard”, quelle utilizzate come password predefinite, ecc.

Ad esempio, in un dizionario per hacking delle password che si rispetti, è sempre presente la parola “password” con tutte le sue varianti:

• password

• Password

• P@ssword

• Passw0rd

• …

Inutile dire che i dizionari sono anche multi lingua…

Cos’è un attacco a forza bruta?

Con un attacco a forza bruta, l’attaccante utilizza un sistema che costruisce le password in modo dinamico, utilizzando tutti i caratteri disponibili.

Utilizzare un set di caratteri ampio (lettere maiuscole, minuscole, numeri e caratteri speciali) rende più complesso il rilevamento della password, rispetto ad una generata usando solo lettere minuscole.

Anche la lunghezza della password contribuisce ad aumentarne la sicurezza. Una password da 4 lettere sarà facilmente identificabile.

Una password da 10 o più lettere sarà praticamente impossibile da decifrare.

L’impossibilità di decifrare una password complessa, con un attacco di tipo brute force, deriva dal tempo necessario per effettuare tutte le combinazioni.

Se una password richiedesse 5 anni consecutivi di tentativi ininterrotti, potremmo essere d’accordo sul considerarla inviolabile, no?

Vediamo quanto impiega un sistema di hacking delle password per violare una password di 7 caratteri. Nello specifico uso la password “ytrhgnb”

Come puoi vedere, il sistema prevede di violare la password entro 8 ore, avendogli dato un range di lunghezza password da 4 a 8 caratteri. E’ certo quindi che, entro un massimo di 8 ore, la password sarà violata.

In realtà, essendo la password lunga 7 caratteri il sistema impiegherà meno di 20 minuti a violarla.

Con 7 caratteri presi dall’alfabeto minuscolo, le combinazioni possibili sono circa 8 miliardi. Il sistema è in grado di testarne circa 6 milioni al secondo… Il conto è presto fatto.

Nel caso specifico la password è stata violata in meno di due minuti.

Con una password di 8 o più caratteri, non limitati alle lettere minuscole, lo stesso sistema impiegherebbe anche decine di anni.

Come puoi ricordarti le password senza fartele fregare?

Lo svantaggio di avere password lunghe e complicate è che, prima o poi, queste ti verranno richieste e tu dovrai ricordartele.

Esistono strumenti, chiamati password manager, che consentono di archiviare tutte le password dei tuoi sistemi e riproportele automaticamente in caso di bisogno.

Uno di questi è LastPass, che esiste anche in versione free e che puoi trovare all’indirizzo www.lastpass.com.

Questi strumenti si basano su una master password che consente l’accesso a tutte le altre. Ovvio che la master password dovrà essere lunga e complessa poiché, se violata, fornirà all’attaccante l’accesso a tutte le tue password.

Non volendo utilizzare strumenti di terzi, quello che posso consigliarti è di ideare un algoritmo che ti consenta di creare password, sempre diverse e complesse, ma che consenta di ricostruirle in caso di necessità.

Ad esempio, immagina di dover inventare una password per l’accesso al sito www.imieisupersegreti.it e dovertela poi ricordare.

Potresti creare una password come questa:

w@ImiETi-17

Per crearla ho utilizzato questo algoritmo:

• w = sito web
• @ = la lettera iniziale del dominio (imieisupersegreti) è una vocale, altrimenti avrei usato il # se fosse stata una consonante
• Imi = prime tre lettere del dominio con iniziale maiuscola
• ETi = ultime tre lettere del dominio con finale minuscola
• -17 = numero di caratteri che compongono il dominio

Se avessi dovuto creare una password per il sito www.trucchiperpassword.com sarebbe stata quindi w#TruORd-18.

Una password generata con un simile algoritmo risulta molto forte in caso di attacco, ma devi tenere assolutamente segreto l’algoritmo di generazione, per evitare che un malintenzionato possa ricostruire tutte le tue password applicando delle semplici regole.

N.B. Ho scritto questo articolo trattando l’argomento della sicurezza delle password in modo semplicistico, e non voglio assolutamente che venga considerato una guida tecnica.

L’idea è quella di aiutare chi non è del mestiere, a capire quali problemi si possano nascondersi dietro una password gestita male.

E tu?

Quante password devi gestire?

Quante te ne dimentichi?

Come possiamo aiutarti

Il lavoro di Flexxa, da sempre, consiste nel proteggere il tuo business nell’area informatica.

Come lo facciamo? Supportando i nostri clienti in tutto quello che serve per gestirla: dal monitoraggio continuo del funzionamento del server, fino al supporto per la creazione di una Password Policy.

Per approfondire come possiamo offrire supporto alla tua azienda, puoi prenotare un assessment gratuito nella sezione che trovi qui sotto.

Sarà un piacere ascoltare le vostre sfide e capire come affrontarle al meglio.

Alla prossima,

Andrea Monguzzi

L'articolo Gestione password (completa) in 100% sicurezza con il Metodo proviene da Flexxa.

Gli strumenti e i metodi che vedo utilizzare dalla stragrande maggioranza delle imprese sembrano essere stati consigliati dalla nostra comune antenata, Lucy.

Ti starai chiedendo il perché di questa mia affermazione, quindi voglio mostrarti uno scenario tipo.

La situazione tipo della PMI italiana  

Mi trovo in una sala riunioni con il titolare della ditta “Nome a piacere S.r.l.”. La settimana precedente all’incontro ho effettuato il giro di perlustrazione aziendale, analizzando la situazione di PC, server, rete e infrastruttura IT in generale. Neanche a dirlo, ho rilevato una situazione inerente ai sistemi di backup e ripristino dei dati risalente all’Età della pietra. È giunto il momento di trasferire queste informazioni al Grande Capo.

“Guardi, dal controllo che ho eseguito la scorsa settimana ho potuto rilevare alcuni punti critici relativi al vostro attuale sistema di salvataggio dei dati…“

I punti critici sono, ovviamente, sempre gli stessi. Il primo per ordine di gravità, presente in moltissime realtà (fortunatamente non in tutte), è un classico.

Completa assenza di backup dei dati

Ebbene sì. Nonostante sia il 2021, molte aziende italiane non hanno un sistema di salvataggio dei dati! Sembra una follia, ma è la triste realtà.

In molti casi, tale mancanza è dovuta alla totale assenza di un sistema di salvataggio o, ancor più frequentemente, al malfunzionamento di un sistema che non viene controllato da mesi o da anni.

Esaminiamo adesso gli altri punti critici che sto per mostrarti  – cinque per la precisione  –, comuni a tutte le PMI italiane. Scommetto che anche tu che stai leggendo queste righe soffri degli stessi, identici problemi. Semplicemente non ne sei consapevole, perché nessuno prima d’ora ti ha mai fatto pensare alla cosa.

Vediamo se ho ragione?

#1 Non hai la consapevolezza di quali siano i dati critici

Non sai con precisione quali siano i dati critici per la tua azienda. Effettui semplicemente un salvataggio dati che qualcuno ti ha configurato tempo fa. Ammesso che costui fosse un tipo altamente professionale, ti avrà chiesto: “Quali sono i dati critici da salvare?”; e tu gli avrai risposto: “Tutti!”.

Il problema è che non è possibile garantire lo stesso livello di protezione per tutti i dati che hai in azienda, a meno che tu non voglia investire cifre da capogiro. Il risultato, quindi, è che stai proteggendo tutto allo stesso modo: poco e male.

#2 Non hai la consapevolezza di quali siano i sistemi critici

Oltre a stabilire quali siano i dati critici per la tua attività è importante che tu identifichi anche i sistemi soggetti a particolari criticità. Spesso si pensa che salvare i dati del server sia sufficiente a garantire la continuità aziendale, ma si tratta di un grave errore di sottovalutazione.

Se ti concentri un attimo, ti accorgerai che in azienda ci sono dei PC che sono altrettanto critici.

Immagina, ad esempio, la postazione dell’impiegata amministrativa che accede ai sistemi di remote banking, sulla quale sono stati installati i certificati bancari.

Senza quella postazione non puoi accedere ai conti correnti ed effettuare pagamenti. Significa che quella macchina potrebbe essere critica.

Stessa cosa per postazioni sulle quali girano software particolari, vitali per la continuità del tuo business.

#3 Non hai stabilito i tempi di ripristino dei dati e dei sistemi critici

Già, proprio così.

Supponendo che tutti i tuoi dati vengano salvati per bene (e, presta attenzione, è solo una supposizione), non hai la benché minima idea di quanto tempo ti serva per ripristinare qualcosa in caso di guasto.

In questi anni ti è bastata la certezza di avere una copia dei dati per stabilire che in caso di disastro non subirai dei danni economici. Grosso errore, e ti spiego perché:

1. La certezza di avere una copia dei dati è effimera, in quanto non hai mai provato a eseguire un ripristino completo;
2. Non hai stabilito quale sia il tempo limite per far sì che un determinato sistema guasto torni in funzione;
3. Non avendo la consapevolezza di quali siano i dati critici, non hai potuto adottare una strategia adatta a garantirne la sicurezza.

In soldoni, immagina di subire un guasto del server.

I dati sono disponibili sui loro supporti di backup, ma per ripristinare la piena funzionalità del sistema saranno necessari 10 giorni poiché si dovrà identificare il guasto, ordinare una parte sostitutiva (o magari un server nuovo), installarla e sperare che tutto riprenda a funzionare.

Nel frattempo l’azienda è ferma e tu perdi soldi a palate.

# 4 Non hai stabilito quanti dati puoi permetterti di perdere

Sì, devi mettere in conto che in caso di guasto perderai sempre qualche dato. Il ripristino infatti riporterà la situazione a un momento precedente nel tempo, precisamente al momento di esecuzione dell’ultimo salvataggio. Se esegui un salvataggio al mese potresti perdere un mese di dati, con uno alla settimana potresti perderne 7 giorni, e così via.

Solitamente vedo pianificare dei backup per l’esecuzione notturna, una volta al giorno. Sei consapevole che se si guastasse qualcosa 10 minuti prima della chiusura degli uffici perderesti tutta la giornata di lavoro tua e dei tuoi dipendenti? In pratica altre palate di soldi.

#5 Non hai mai testato il backup effettuando un ripristino completo

Puoi misurare il successo di un strategia di backup solo recuperando i dati nel momento del bisogno. Il guaio è che, sovente, l’imprenditore aspetta l’emergenza per effettuare un recupero utilizzando, a garanzia della buona riuscita dell’operazione, il metodo scientifico delle “dita incrociate”.

 Devi sempre considerare che una copia dei dati che non puoi ripristinare è utile quanto un Amaro Montenegro per toglierti la sete in un’afosa giornata di agosto. Puoi riempirci la borraccia, ma avresti solo un peso inutile da portarti in giro.

I test di ripristino dei dati devono sempre essere considerati parte integrante della tua politica di backup. Devi scegliere uno strumento che consenta di poterli eseguire senza paralizzare l’azienda oppure, credimi, non li eseguirai mai.

Come puoi evolverti e metterti al sicuro?  

Quello che devi fare è molto semplice. Devi interrogarti sui 5 punti esposti precedentemente, che riassumo qui sotto forma di domande:

1. Hai implementato una strategia di backup?
2. Sai quali sono i dati e i sistemi critici?
3. Sai quanto tempo puoi permetterti di restare senza un dato o un sistema critico?
4. Sai quanti dati puoi permetterti di perdere?
5. Effettui periodicamente delle prove di ripristino simulando un guasto?

Per sentirti al sicuro devi poter rispondere in modo affermativo a tutte le 5 domande. Uno o più NO significano che hai un problema che devi risolvere al più presto perché, attualmente, stai sfidando la sorte.

Devi quindi implementare una nuova strategia di backup che, nella sua attuazione, tenga conto di tutti questi fattori e ti consenta di rispondere sempre SÌ, con ferma decisione.

A quante domande hai risposto NO?

Se la gestione del server aziendale in sicurezza non vuole essere una preoccupazione per te, mettiti in contatto con noi. Da oltre 20 anni, in Flexxa, proteggiamo i business di centinaia di aziende come la tua.

Compila i tuoi dati nel modulo qui sotto per prenotare un assessment, valutare il livello di sicurezza informatica in azienda e capire come proteggerla al meglio.

Alla prossima,

Andrea Monguzzi

L'articolo Backup: tre milioni di anni buttati? Scoprilo con 5 domande proviene da Flexxa.