Unapassword
di nomeX3KY4Z

La sicurezza di un sistemainformatico è nelle mani delle persone che lo utilizzano.Non occorre particolare genialità per penetrarvi, ma solopazienza nell'approfittare degli errori grossolani che talvoltasi commettono. Cruciale è la scelta della password, lasua LUNGHEZZA e DURATA

di
Silvano Ongetta
(Banco Ambrosiano Veneto)


Con la maggiore connettività,non solo fra computer ma fra reti a valore aggiunto e soprattuttoattraverso l'uso di Internet, è da attendersi che la frequenzae il grado di sofisticazione degli attacchi ai sistemi di sicurezzaaumenterà. Le difese comunque esistono e i sistemi basatisull'accertamento dell'identità tramite password possonorispondere in modo efficace agli attacchi. La password - che puòessere sostanzialmente definita una sequenza predeterminata dicaratteri utilizzata per autenticare l'identità degli utentidel sistema informatico ed abilitarli conseguentemente all'accesso- non rappresenta la sicurezza totale ma un importante passo intale direzione.

Nell'uso delle password, in qualsiasi contesto aziendale,è auspicabile uniformarsi ad alcune modalitàcomportamentali.

Solo poche persone dovrebbero essere autorizzatead accedere alla procedura che consente la registrazione dell'utentee il rilascio della password; se generata automaticamente dalsistema, la password dovrebbe essere consegnata a mano,dal responsabile della sicurezza all'utente, e avere esclusivamentecarattere temporaneo e validità sufficiente perconsentire l'accesso al sistema per cambiarla. Il sistema dovrebbeautomaticamente assicurare che la sostituzione avvenga entro undeterminato lasso di tempo dal ricevimento della password iniziale.

Se il periodo vitale di una password temporanea scadeprima che sia effettuata la connessione, l'utente non dovrebbeavere altre possibilità se non quella di ottenerne unanuova temporanea dal responsabile della sicurezza e agire nuovamentenell'ambito del tempo limite posto. Gli utenti, per quanto ovvio,dovrebbero essere responsabilizzati in merito alla scelta e all'uso.Ogni utente dovrebbe essere riconosciuto per mezzo di un unicoidentificativo e di un'unica password personale, al fine di assicurareuna contabilizzazione individuale e una univoca responsabilizzazione.

La password dovrebbe essere registrata in formaincriptata, senza possibilità di riportarlain chiaro, in modo da rendere estremamente problematica la suaindividuazione. Il sistema dovrebbe prevenire il regolare riutilizzodella password preferita registrando in un file storico le ultimeutilizzate dall'utente e stabilire sia la vita utile massima chequella minima in modo da evitare che gli utenti possano cambiarlaripetutamente e tornare a impiegare la loro password preferita.

Non dovrebbero essere impiegate parole di senso comuneo aventi attinenza con la vita privata o aziendale dell'individuoquali: nomi, codice fiscale, date di nascita, targa dell'auto,numero del badge personale. A tale scopo può essere moltoutile escludere l'utilizzo di alcuni caratteri, inibire la ripetitivitàe l'adiacenza di certi altri, impedire che gli stessi caratteripossano essere usati in una posizione corrispondente alla stessaposizione occupata nella password precedente.

Se si vuole essere veramente sicuri di scegliereuna password di difficile intercettazione occorre che la parolausata non sia presente sul vocabolario e non sia pronunciabile.Questa cautela è essenziale anche in presenza di passwordcrittografate, in quanto è possibile transcodificare unapassword abbastanza facilmente, pur in formato crittografato,ma che deriva da una parola presente sul vocabolario.

Per quanto riguarda la lunghezza della password,una consolidata convenzione considera ottimale quella di sei caratteri.È opportuno comunque non spingersi oltre gli otto caratteri.

Quale è il limite consentito di tentativid'accesso non validi? Quali e quanti caratteri devono essere utilizzatiper costruire una password? Quale dev'essere la vita utile diuna password?

Le risposte devono essere sincronizzate in quantoad esempio il numero consentito di tentativi di accessodi una password è in funzione sia dell'ampiezza dei caratteriscelti sia della sua lunghezza e inoltre può essere necessarioun compromesso tra la probabilità di scoperta e la lunghezzadella password.

Per limitare la probabilità che una passwordsia individuata entro un'accettabile percentuale, il numero deitentativi deve essere pertanto rigorosamente limitato. Per deciderequale dev'essere il limite appropriato è necessario considerarele ragioni per le quali sono normalmente immessi identificativiutente non validi: errore di digitazione, dimenticanza, tentativodi un utente non autorizzato di scoprire una password valida.Ogni successivo tentativo di connessione che verrà attuatoridurrà la probabilità che ci si trovi di frontead errori di digitazione ed aumenterà la probabilitàche un utente autorizzato abbia dimenticato la propria password(ad esempio è appena tornato dalle ferie), oppure che unapersona non autorizzata stia tentando di farsi passare come utenteabilitato. Porre un limite al numero dei tentativi di connessionein una singola sessione di lavoro va bene, ma se nel sistema nonsono posti ulteriori limiti, chiunque abbia accesso ad una workstationpotrebbe ripetutamente effettuare la connessione, tentare di scoprireuna certa password, sino al limite consentito meno uno e poi desistere,per riprendere il suo particolare esercizio in un tempo successivo.

La miglior politica è quindi permettere unasola sessione di lavoro, limitare i tentativi di connessione eimpedire ulteriori accessi all'utente che immette troppo spessopassword non valide. L'obiettivo è di agevolare la gestionee l'utilizzo delle password pur mantenendo sotto il livello diguardia la probabilità che possano essere scoperte. Unavolta raggiunto un soddisfacente grado di sicurezza per il numeroconsentito dei tentativi di immettere un identificativo non valido,l'ottimizzazione dei rimanenti parametri, costituiti dalla basee dalla lunghezza, risulta altrettanto fondamentale.

I ventisei caratteri dell'alfabeto inglese e i simbolirappresentanti i numeri dovrebbero bastare, eliminando peròle combinazioni di I, O, zero e uno, così come tutti icaratteri speciali, in quanto normalmente rendono difficile lamemorizzazione. Un loro uso oculato facilita in modo considerevolel'aumento della base, tale da compensare i disagi provocati dalloro impiego. Una base più ampia possibile ed una lunghezzamassima accettabile rendono molto più aleatoria l'eventualitàche una password possa essere scoperta. Sul piano teorico le passworddovrebbero essere generate senza l'intervento umano, utilizzandoun algoritmo generatore che ne assicuri la casualità,ma per consentire la loro facile memorizzazione risulta necessarioche siano anche abbastanza corte (3-4 caratteri), purtroppo anchecosì la password da usare risulta spesso di difficile apprendimento,con una serie di problemi facilmente immaginabili.

Pertanto per evitare queste problematiche, la generazionedelle password è sempre più demandata agli utenti,in modo che possano essere facilmente ricordate. Il problema chesi viene a creare con questo approccio è diametralmenteopposto a quello accennato prima: l'utente può (e moltospesso lo fa) creare una password che è facilmente memorizzabilema anche altrettanto facilmente individuabile da parte di terzi.Se un utente, ad esempio, è un acceso tifoso di una squadradi calcio è molto probabile che la sua password corrispondaai nomi dei calciatori leader di quel team sportivo e a rotazionedi tutti gli altri componenti la squadra.

È comunque necessario cambiare la passwordcon una buona frequenza e regolarità, normalmente entro30-90 giorni, oppure con maggiore frequenza da parte di quegliutenti aventi particolari diritti di accesso. Il sistema dovrebbeavvisare con qualche giorno di anticipo l'utente quando la passwordè prossima alla scadenza e per rendere obbligatoria lasua sostituzione è indispensabile che siano sospesi i dirittidi accesso attribuiti all'utente inadempiente.



LE 15 REGOLE D'ORO
  • i) Le password dovrebbero essere forniteesclusivamente a quelle persone che hanno reale necessitàdi accedere al sistema. I diritti di accesso dovrebberoessere rigorosamente allineati ai diritti derivanti dal livellodi responsabilità aziendale. Spesso certi file devono esserealla portata di varie persone, ma non è detto che chiunquedebba movimentarli;

  • ii) particolare attenzione dovrebbe essere dedicataalla attribuzione di ampi diritti di accesso ad un singolo utente.È sempre raccomandata una periodica revisione del dirittiutente;

  • iii) dovrebbe essere valutata l'opportunitàdi rinforzare il sistema di sicurezza limitando l'accesso soloa specifiche workstation, per quei profili che dispongonodi speciali autorità;

  • iv) occorre determinare il periodo massimo di time-out,ovvero del tempo limite trascorso il quale deve intervenire loscollegamento automatico della sessione di lavoro, in caso diprolungata inattività del terminale;

  • v) occorre evitare, in senso lato, l'impiego di personalcomputer che permettano la memorizzazione delle password edegli identificativi immessi;

  • vi) ogni superamento del limite stabilito, per gliaccessi non andati a buon fine, dovrebbe essere automaticamenterilevato e prontamente segnalato all'ente di controlloper consentire una sua tempestiva analisi e l'attivazione dellepiù opportune misure;

  • vii) un messaggio dovrebbe essere visualizzato all'utente,all'atto della sua connessione, per informarlo in merito al giornoe l'ora del suo ultimo utilizzo;

  • viii) il sistema dovrebbe impedire la possibilitàdi utilizzare simultaneamente lo stesso identificativoin più di una stazione di lavoro;

  • ix) se un identificativo utente/password non èimpiegato da un certo numero di giorni dovrebbe essere marcatocome sospeso/revocato o cancellato dal responsabile della sicurezza,in modo che non possa essere utilizzato impropriamente;

  • x) in caso di assenza programmata, l'utente dovrebbepoter richiedere la sospensione del suo identificativoe conseguentemente della sua password;

  • xi) le password fornite insieme al sistema e utilizzatedai tecnici della casa costruttrice o da altri addetti di terzeparti, dovrebbero essere cambiate all'atto della installazionedel sistema e comunque inibite dopo ogni loro utilizzo;

  • xii) i diritti di accesso dovrebbero essere ugualmenteinibiti all'utente al momento della notifica delle sue dimissionie dovrebbero essere rivisti a fronte di un cambio di mansione;

  • xiii) le password dovrebbero essere convertite informa crittografata per tutto l'arco della loro vita. La crittografiaè ovviamente anche necessaria per mascherare le passwordin transito durante la trasmissione dei dati, infatti anche sedovessero essere captate risulterebbero incomprensibili;

  • xiv) la difesa di identificativi aventi particolariprivilegi dovrebbe essere particolarmente accurata in quanto laloro eventuale scoperta potrebbe consentire all'intercettatoredi effettuare qualsiasi attività nel sistema, inclusa lacancellazione dai log di sistema di un evento che potrebbe altrimentifornire traccia di attività non autorizzate;

  • xv) non dovrebbe essere mai dimenticato che un intercettatoreche dovesse acquisire indebitamente un profilo con speciali diritti,potrebbe essere libero di fare tutto, anche di creare transazionifasulle e attivare sistemi sofisticati per ottenere fraudolentementedenaro o altri vantaggi da una organizzazione che non disponedi una adeguata audit trail di quanto accade nel suo sistema informativo.


    Come sceglierla con fantasia

    Ecco una serie di idee e spunti per aiutarvi a trovareil vostro metodo di individuazione della password, fermo restandoche deve essere periodicamente cambiata.

    Per gli amanti della poesia non ci dovrebberoessere limiti di scelta: TOPBEM (T'amo O Pio Bove E Mite ....).Poiché ovviamente sarebbe rischioso utilizzare sempre laprima strofa (la più conosciuta da tutti) possiamo darfondo alla nostra memoria ed utilizzare anche i versi successivi,ad esempio: EMAGTA (E Molte Anzitempo Generose Travolse Alme....).

    Altra fonte inesauribile sono le preghiere:CNLRAN (Come Noi Li Rimettiamo Ai Nostri ...). Tanto per rinfrescarcila memoria sugli indirizzi dei nostri amici: MAPZSB (Manzoni AngoloPiaZza San Babila). Senza necessariamente essere dei Gourmet possiamoelencare qualche piatto oppure i suoi componenti: SADFDM (SpaghettiAl Dente ai Frutti Di Mare), UOLODG (Uova Olio Limone Olio DiGomito).

    Basta comunque dare libero spazio alla fantasiae possiamo trovare altre password sicure e soprattutto facilmentememorizzabili. Ecco altri esempi di vario tipo: QEAIVS (QuestaEstate Andremo In Vacanza in Sardegna), UMAGLM (Una Mela Al GiornoLeva il Medico).

    (Ndr: articolo ripreso dallarivista Bancaforte di maggio-giugno 1998)