Attivissimo.me

Podcast RSI – Password, Microsoft e NIST dicono che cambiarle periodicamente è sbagliato

da

paoloatti
in , ,
Visualizzazioni: 841

Questo è il testo della puntata dell’11 ottobre 2024 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.

[CLIP: rumore di picchiettio sulla tastiera interrotto ripetutamente dal suono di errore di immissione]

Le password. Le usiamo tutti, ne abbiamo tantissime, e di solito le detestiamo. Non ce le ricordiamo, sono scomode da digitare soprattutto sulle minuscole tastiere touch dei telefonini, facciamo fatica a inventarcele e dopo tutta quella fatica ci viene imposto periodicamente di cambiarle, e ci viene detto che è “per motivi di sicurezza”.

Ma Microsoft dice da anni che questo cambio ricorrente è sbagliato, e adesso anche il NIST, uno delle più autorevoli enti di riferimento per la sicurezza informatica, ha annunciato che sta aggiornando le proprie linee guida per sconsigliare di cambiare periodicamente le password, dopo anni che ci è stato detto e stradetto esattamente il contrario. Come mai questo dietrofront? Perché gli esperti non si decidono una buona volta?

Proviamo a capire cosa sta succedendo in questa puntata delll’11 ottobre 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo. Benvenuti.

[SIGLA di apertura]

Probabilmente la sigla NIST non vi dice nulla. Queste quattro lettere sono l’acronimo di National Institute of Standards and Technology, e rappresentano l’agenzia governativa statunitense che regolamenta le tecnologie sviluppando metodi e soprattutto standard di riferimento che vengono poi adottati a livello mondiale. Quando il NIST parla, il mondo ascolta.

Poche settimane fa il NIST ha appunto parlato. O meglio, come si addice a qualunque ente burocratico, ha pubblicato online ben quattro volumi di linee guida per le identità digitali, pieni di gergo tecnico, che definiscono i nuovi standard di sicurezza che dovranno essere adottati da tutti gli enti federali degli Stati Uniti. Il resto del pianeta, di solito, abbraccia questi standard, per cui quello che dice il NIST diventa rapidamente regola mondiale.

Le icone dei volumi delle linee guida del NIST per le identità digitali.

In questi quattro volumi è annidata una serie di cambiamenti molto profondi nelle regole di sicurezza per le password. Sono cambiamenti che vanno in senso diametralmente opposto alle norme che per anni ci sono state imposte dai siti e dai servizi presso i quali abbiamo aperto degli account.

Per esempio, le nuove regole vietano di chiedere agli utenti di cambiare periodicamente le proprie password, come invece si è fatto finora; proibiscono di imporre che le password contengano un misto di caratteri maiuscoli e minuscoli, numeri, simboli e segni di punteggiatura; e vietano di usare informazioni personali, come per esempio il nome del primo animale domestico o il cognome da nubile della madre, come domande di verifica dell’identità.

Se vi sentite beffati, è normale, ma gli informatici del NIST non sono impazziti improvvisamente: sono anni che gli addetti ai lavori dicono che le regole di sicurezza adottate fin qui sono sbagliate, vecchie e inutili o addirittura controproducenti, tanto che riducono la sicurezza informatica invece di aumentarla. Per esempio, già nel 2019 Microsoft aveva annunciato che avrebbe tolto dalle sue impostazioni di base raccomandate il requisito lungamente consigliato di cambiare periodicamente le password, definendolo addirittura “antico e obsoleto”. Ancora prima, nel 2016, Lorrie Cranor, professoressa alla Carnegie Mellon University e tecnologa capo della potente Federal Trade Commission, aveva criticato pubblicamente questa regola.

Lorrie Cranor racconta che chiese ai responsabili dei social media dell‘FTC come mai l‘agenzia raccomandava ufficialmente a tutti di cambiare spesso le proprie password. La risposta fu che siccome l‘FTC cambiava le proprie password ogni 60 giorni, doveva essere una raccomandazione valida.

Il requisito era sensato all’epoca, ma oggi non lo è più per una serie di ragioni pratiche. I criminali informatici hanno oggi a disposizione computer potentissimi, con i quali possono effettuare in pochissimo tempo un numero enorme di calcoli per tentare di trovare la password di un utente. Di solito violano un sistema informatico, ne rubano l’archivio delle password, che è protetto dalla crittografia, e poi tentano per forza bruta di decrittare sui loro computer il contenuto di questo archivio, facendo se necessario miliardi di tentativi.

Il numero dei tentativi diminuisce drasticamente se la password cercata è facile da ricordare, come per esempio un nome o una frase tratta da un film, da una canzone o da un libro. E con la potenza di calcolo attuale il vecchio trucco di alterare le parole di senso compiuto di una password aggiungendovi lettere o simboli o cambiando per esempio le O in zeri è diventato irrilevante, perché non aumenta granché, in proporzione, il numero di tentativi necessari. I software di decrittazione odierni includono dizionari, cataloghi di password popolari compilati sulla base delle password trovate nei furti precedenti, e istruzioni per tentare prima di tutto le alterazioni più frequenti delle parole. Se pensavate di essere al sicuro e anche magari molto cool perché scrivevate la cifra 3 al posto della lettera E nelle vostre password, non lo siete più, e da un pezzo.

Obbligare a cambiare le proprie password periodicamente o a usare caratteri diversi dalle lettere, dicono i ricercatori sulla base di numerose osservazioni sperimentali, non aiuta affatto la sicurezza e anzi la riduce, per una serie di ragioni molto umane. Di fronte a questi obblighi, infatti, gli utenti tipicamente reagiscono scegliendo password più deboli. Tendono a usare schemi, per esempio cambiando password1 in password2 e così via, e i criminali questo lo sanno benissimo.

Se una password è difficile da ricordare perché deve contenere caratteri maiuscoli e minuscoli, cifre e simboli, e viene imposto di cambiarla comunque a scadenza fissa per cui la fatica di ricordarsela aumenta, gli utenti tipicamente reagiscono anche annotandola da qualche parte, dove verrà vista da altri.

Le password andrebbero cambiate solo in caso di furto accertato o perlomeno sospettato, non preventivamente e periodicamente. Come scrive Microsoft, “una scadenza periodica delle password difende solo contro la probabilità che una password […] sia stata rubata durante il suo periodo di validità e venga usata da un’entità non autorizzata.” In altre parole, avere una scadenza significa che l’intruso prima o poi perderà il proprio accesso, ma se la scadenza è ogni due o tre mesi, vuol dire che avrà comunque quell’accesso per un periodo più che sufficiente a far danni.

Le soluzioni tecniche che funzionano, per le password, sono la lunghezza, la casualità, l’autenticazione a due fattori (quella in cui oltre alla password bisogna digitare un codice ricevuto sul telefono o generato da un’app) e le liste di password vietate perché presenti nei cataloghi di password usati dai criminali.

Quanto deve essere lunga una password per essere sicura oggi? Gli esperti indicano che servono almeno undici caratteri, generati a caso, per imporre tempi di decrittazione lunghi che scoraggino gli aggressori. Ogni carattere in più aumenta enormemente il tempo e la fatica necessari. Le nuove linee guida del NIST indicano un minimo accettabile di otto caratteri, ma ne raccomandano almeno quindici e soprattutto consigliano di consentire lunghezze di almeno 64. Eppure capita spesso di imbattersi in siti o servizi che si lamentano che la password scelta è troppo lunga, nonostante il fatto che oggi gestire e immettere password lunghissime e quindi molto sicure sia facile grazie ai password manager, cioè le app o i sistemi operativi che memorizzano per noi le password e le immettono automaticamente quando servono.

La casualità, inoltre, non richiede di usare per forza caratteri maiuscoli e minuscoli o simboli: il NIST è molto chiaro in questo senso e specifica che questo uso non dovrebbe essere imposto. La ragione è molto semplice: una password sufficientemente lunga e generata in maniera realmente casuale, per esempio tramite i generatori di password ormai presenti in tutti i browser più diffusi, come Chrome o Firefox o Edge, non trae alcun beneficio significativo dall’inclusione obbligata di questi caratteri e anzi sapere che c‘è quest’obbligo può essere un indizio utile per gli aggressori.

E a proposito di indizi, un’altra nuova linea guida del NIST che va contro le abitudini comuni di sicurezza è il divieto di offire aiutini. Capita spesso di vedere che un sito o un dispositivo, dopo un certo numero di tentativi falliti di immettere una password, offra un promemoria o un suggerimento che aiuta a ricordare la password giusta. Purtroppo questo suggerimento può essere letto dall’aggressore e può aiutarlo moltissimo nel ridurre l’insieme delle password da tentare.

Ci sono anche altre due regole di sicurezza del NIST che cambiano perché la tecnologia è cambiata e i vecchi comportamenti non sono più sicuri. Una è la domanda di sicurezza, e l’altra è decisamente sorprendente.

La domanda di sicurezza è un metodo classico e diffusissimo di verificare l’identità di una persona: le si chiede qualcosa che solo quella persona può sapere e il gioco è fatto. Ma il NIST vieta, nelle sue nuove regole, l’uso di questa tecnica (knowledge-based authentication o autenticazione basata sulle conoscenze).

La ragione è che oggi per un aggressore o un impostore è molto più facile che in passato procurarsi i dati personali richiesti dalle tipiche domande di sicurezza, come il cognome da nubile della madre, il luogo di nascita o il nome del cane o gatto. È più facile perché le persone condividono tantissime informazioni sui social network, senza rendersi conto che appunto il loro cognome da nubili, che magari pubblicano per farsi trovare dagli amici e dalle amiche d’infanzia, è anche la chiave per sbloccare l’account del figlio, e che le foto del loro animale domestico di cui vanno fieri includono anche il nome di quell’animale e verranno viste anche dagli aggressori.

Inoltre il boom dei siti di genealogia, dove le persone ricostruiscono spesso pubblicamente i loro rapporti di parentela, ha come effetto collaterale non intenzionale una grande facilità nel reperire i dati personali da usare come risposte alle domande di sicurezza. Quindi prepariamoci a dire addio a queste domande. In attesa che i siti si adeguino alle nuove linee guida, conviene anche prendere una precauzione: se un sito vi chiede a tutti i costi di creare una risposta da usare in caso di password smarrita o dimenticata, non immettete una risposta autentica. Se il sito chiede dove siete nati, rispondete mentendo, però segnatevi la risposta falsa da qualche parte.

La regola di sicurezza sorprendente enunciata adesso dal NIST è questa: la verifica della password inviata dall’utente deve includere l’intera password immessa e non solo i suoi primi caratteri. Sì, avete capito bene: molti siti, dietro le quinte, in realtà non controllano affatto tutta la password che digitate, ma solo la sua parte iniziale, perché usano vecchissimi metodi di verifica che troncano le password oltre una certa lunghezza, e siccome questi metodi hanno sempre funzionato, nessuno va mai a modificarli o aggiornarli, anche perché se si sbaglia qualcosa nella modifica le conseguenze sono catastrofiche: non riesce a entrare più nessun utente. Tutto questo vuol dire che per questi siti una password lunga è inutile e in realtà non aumenta affatto la sicurezza, perché se l’intruso indovina le prime lettere della password e poi ne sbaglia anche le successive, entra lo stesso nell’account.

Passerà parecchio tempo prima che queste nuove linee guida vengano adottate diffusamente, ma la loro pubblicazione è un primo passo importante verso una maggiore sicurezza per tutti. Il fatto che finalmente un’autorità come il NIST dichiari pubblicamente che cambiare periodicamente le password è sbagliato e non va fatto offre ai responsabili della sicurezza informatica delle aziende e dei servizi online una giustificazione robusta per adottare misure al passo con i tempi e con le tecnologie di attacco. Misure che loro chiedono di applicare da tempo, ma che i dirigenti sono spesso riluttanti ad accogliere, perché per chi dirige è più importante essere conformi e superare i controlli dei revisori che essere realmente sicuri.

Nel frattempo, anche noi utenti dobbiamo fare la nostra parte, adottando i generatori e gestori di password e usando ovunque l’autenticazione a due fattori. E invece troppo spesso vedo utenti fermi alla password costituita dal nome e dall’anno di nascita o addirittura dall’intramontabile “12345678”, usata oltretutto dappertutto perché “tanto chi vuoi che venga a rubare proprio a me l’account e comunque è una password così ovvia che non penseranno mai di provarla”.

Sarà forse colpa delle serie TV, che per motivi di drammaticità mostrano sempre gli hacker che entrano nei sistemi informatici tentando manualmente le password, ma sarebbe ora di capire che non è così che lavorano i criminali informatici: non pensano alle password da provare, ma lasciano che i loro computer ultraveloci le tentino tutte fino a trovare quella giusta. L’unico modo efficace per fermarli è rendere difficili questi tentativi usando lunghezza e casualità sufficienti, insieme al paracadute dell’autenticazione tramite codice temporaneo. Diamoci da fare.

Fonti aggiuntive

NIST proposes barring some of the most nonsensical password rules, Ars Technica

NIST proposed password updates: What you need to know, 1password.com

8 risposte

  1. Avatar Moreno Manzini
    Moreno Manzini

    Ciao

    Eh, password, argomento sempre molto delicato.

    Se la password è difficile diventa anche materialmente impossibile ricordarsela; per abilitare il backup delle posizioni di GoogleMaps ho dovuto aprire il Password Manager di FireFox sul PC e fare un Copia Incolla con AnyDesk, un po’ complicato insomma 8<))))

    Quindi per gestire password complesse ci vuole un Password Manager ma chi si fida di loro? Specialmente quelli cloud sono ad alto rischio, se viene violato, magari in modo silenzioso, tutte le password cadono in mano dei cattivi e siamo fregati.

    Le mie policy sono molto rigide:
    – Mai salvare password sul cloud
    – Mai usare il telefono per navigazioni con password
    – Uso del password manager integrato in FireFox
    – Uso di FireFox Portable salvato in un filesystem cifrato con VeraCrypt
    – Frequenti backup del disco cifrato
    – Esportazioni periodiche delle password con PasswordFox salvati su altro disco cifrato con livello di sicurezza superiore (anche quello con frequente backup)
    – Uso di più copie di FireFox a seconda del tipo di navigazione da effettuare che possono anche essere su dischi cifrati diversi (Es. versione specifica per la navigazione bancaria).

    Sicuramente una scelta faticosa ma mi fa fare sonni ragionevolmente tranquilli.

    Nonostante i consigli dello NIST io nel giorno del Password Day comunque rinnovo le password più delicate o datate.

    Ciao Ciao, Moreno

    Rispondi
  2. Avatar Moreno Manzini
    Moreno Manzini

    RiCiao

    P.S. Ovviamente per Backup del Disco Cifrato non intendo il backup del contenuto ma del contenitore (è un file con estensione .hc) così che le informazioni in esso contenute rimangano cifrate.

    Ciao Ciao, Moreno

    Rispondi
  3. Avatar Marco
    Marco

    E’ per questo che nel sito che ho creato, per le password ho fatto così:
    1) Non hanno lunghezza limitata.
    2) Possono contenere spazi, segni di punteggiatura, ecc.
    3) Nel database ho memorizzato un hash con salt con un algoritmo non standard, quindi devono rubare sia il database che il codice sorgente e quindi non è possibile recuperare la password, ma solo resettarla a un valore casuale.
    4) Ogni tentativo sbagliato fa comparire un timer nel form, che allunga i tempi morti (se uno inserisce una password, sia giusta che sbagliata, prima del tempo è ignorata e il timer è resettato) in ogni caso dopo 10 tentativi sbagliati, la password è resettata a una stringa casuale di 12 caratteri che viene spedita al proprietario. Per evitare reset continui della password, fino al successivo login corretto la password non è più resettata (ma il timer dei tentativi c’è ancora)… (sto considerando di inserire una opzione per variare il numero di tentativi o disattivare il reset automatico)

    Rispondi
    1. Avatar Leo
      Leo

      Algoritmo non standard…security through obscurity….
      …le precedenti puntate di questo film, non sono finite bene

      Rispondi
  4. Avatar Ernesto
    Ernesto

    Vai a dirlo alle banche …
    con le loro “domande di insicurezza” per associare i token alle app sul nuovo e singolo e unico telefono

    Ma poter avere un device di backup?

    Rispondi
  5. Avatar Ernesto
    Ernesto

    Oltretutto, i siti dovrebbero salvare l’hash della password inserita e non la password inserita.

    Le funzioni di hash (ce ne sono varie con caratteristiche differenti, ma è un altro discorso) producono una stringa di lunghezza fissa a prescindere dalla stringa iniziale.
    Non sono invertibili (dall’hash non si può ottenere la stringa di partenza)
    Quelle buone hanno poche collisioni, ossia la probabilità che due stringhe producano lo stesso risultato deve essere bassa
    Quelle buone presentano risultati con variazioni significative a fronte di input simili.
    tipo: pass0 e pass1 pur variando di poco (1 bit) genereranno due hash completamente differenti.

    Conclusione? limitare a 8 caratteri una password non solo è stupido, ma anche inutile perché una password di 3 caratteri e una di 300 generano hash con la stessa lunghezza e quindi occupano lo stesso spazio negli archivi.
    Certo salvare 1024 caratteri di hash per password di 10 caratteri sembra uno spreco, ma ripaga in termini di sicurezza e responsabilità civile e penale in caso di furto di dati o peggio

    my 2¢

    Rispondi
  6. Avatar Massimo
    Massimo

    Ho una domanda: da tempo uso un password manager, e non so più le password (lunghe, casuali, e generate in automatico) di nessuno dei servizi che uso. La password del password manager, però, devo saperla: seguendo i consigli di Edward Snowden, ne ho scelta una molto lunga, che in realtà è una frase originale, che ho pensato io, e che ha maiuscole/minuscole e numeri al posto delle lettere. Il password manager poi ha anche una 2fa. Evidentemente da questo articolo, però, la mia password non è sicura come pensavo: ma avere 24 caratteri random da memorizzare diventa una missione impossibile! Cosa consigliate?

    Rispondi
    1. Avatar Ernesto
      Ernesto

      Ci sono vari metodi mnemonici per ricordare password o sequenze di numeri.

      Non tutti funzionano con tutti.
      Io sono riuscito a memorizzare l’intera tavola periodica quando ero a scuola con metodi simili. Dopo un po’ non ci pensi nemmeno più e ti viene naturale.

      Ad esempio se volessi ricordare la sequenza 61432, puoi raccontarti “sei una fortezza anche tu”
      Per gli esseri umani è più facile memorizzare una frase o un concetto rispetto ad una sequenza di numeri e lettere.

      Meno sicura è la memoria muscolare. Dura molto più a lungo, ma …
      Spesso ti cambiano le configurazioni dei datapad per inserire in siti web, quindi ti creano altri problemi.

      Io dovetti chiamare la banca per farmi dire come era il datapad prima dell’aggiornamento della loro app perché non ricordavo il codice (8 numeri), ma solo come inserirlo.

      Rispondi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *