password – Attivissimo.me

Podcast RSI – Addio password, benvenuta passkey?

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.

Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

—

[CLIP: rumore di tastiera vecchio stile con “beep” multiplo di errore di immissione]

Addio, rumorosa e frustrante digitazione di password complicate: Google,
Microsoft, Apple e molte altre aziende del settore informatico stanno
spingendo gli utenti ad abbandonare le password in favore delle
passkey, promettendo maggiore facilità d’uso e sicurezza. Questa
facilità e sicurezza, però, si conquistano solo dopo aver imparato cosa sono e
come funzionano queste passkey.

La transizione è inevitabile, per cui se volete conoscere questa novità,
capire perché è davvero necessaria e adottarla in maniera indolore, o almeno
in modo da ridurre il più possibile la scomodità, siete nel posto giusto;
state ascoltando la puntata del 20 ottobre 2023 del Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie
strane dell’informatica e dedicato in questo caso, appunto, alle passkey. Io
sono Paolo Attivissimo.

[SIGLA di apertura]

A partire dal 10 ottobre scorso, Google sta cominciando a
chiedere
agli utenti di passare dalle password alle passkey [immagine qui accanto]. Microsoft ha
incluso
il supporto alle passkey nell’aggiornamento di settembre di Windows 11, e
Apple lo
integra
già a partire da iOS 16 e macOS 13.

Nonostante l’assonanza, una passkey è molto differente da una password. La
password è una sequenza di caratteri che dobbiamo immettere per accedere
a un account o a un servizio. La passkey, invece, non si deve digitare: è un
codice custodito in parte sul nostro dispositivo e in parte sul server che
gestisce un servizio online. Le due parti sono protette dalla crittografia a
chiave pubblica, secondo uno standard aperto adottato da quasi tutte le
principali aziende informatiche.

Il vantaggio principale delle passkey è che per accedere a un’app o a un sito
non abbiamo più bisogno di digitare una password. Se accediamo usando uno
smartphone, è sufficiente sbloccarlo usando il nostro PIN o
l’impronta digitale o il riconoscimento facciale (o, per i più paranoici, un
cosiddetto token di sicurezza hardware). Se accediamo usando invece un
computer, è sufficiente avere il nostro smartphone nelle vicinanze del
computer: sul telefono comparirà una richiesta di sblocco, e se la accettiamo
il computer verrà autorizzato. Non ci servono più codici supplementari
ricevuti via SMS o generati da app separate per l’autenticazione a due
fattori.

L’altro vantaggio fondamentale è che le passkey resistono alle tecniche di
furto più diffuse, come il phishing o il keylogging. Nel phishing, la vittima
viene convinta con l’inganno a immettere la password in un sito che sembra
quello reale ma è in realtà una copia gestita dai truffatori; nel keylogging,
l’aggressore intercetta tutto quello che scriviamo con la tastiera e quindi
riceve anche la password. Ma se usiamo le passkey, non c’è più nulla di intercettabile.
Se un sito che usiamo viene attaccato, non è più possibile rubarne l’archivio
delle password, perché non c’è: al suo posto ci sono le passkey parziali, che
però sono inutilizzabili senza la parte di passkey che risiede sul nostro
dispositivo.

Le passkey eliminano anche uno dei pericoli più frequenti delle password:
dimenticarsela. Qui non c’è più nulla da dimenticare, perché è tutto
memorizzato nel nostro dispositivo. Di conseguenza, viene eliminato anche un
altro rischio ricorrente, ossia l’abitudine diffusissima di usare la stessa
password dappertutto, col risultato che se un aggressore scopre la password di
uno dei nostri account ha automaticamente le password di tutti gli altri. Con le
passkey, invece, ogni servizio ha automaticamente una credenziale differente.

Una volta tanto, insomma, siamo di fronte a un’innovazione tecnologica che ci
chiede di fare meno cose di prima in cambio di maggiore sicurezza. Ma
in pratica, come funziona?

Passkey in pratica: proteggere un account Google

Moltissimi utenti hanno un account Google, per
cui descrivere come si migra dalle password alle passkey per il proprio
account Google su un computer, tablet o smartphone è un buon esempio generale.

Per prima cosa entrate nel vostro account Google con un browser (per esempio
Chrome o Safari), dando la password come consueto. Nella sezione
Sicurezza troverete l’opzione Inizia a utilizzare le passkey.
Cliccando su Usa passkey verrà creata una passkey per il vostro account
Google. Tutto qui.

Da quel momento in poi non avrete più bisogno di digitare la vostra
password di Google su quel dispositivo e sarà sufficiente usare il suo sistema
di sblocco, che può essere un PIN, un sensore di impronte digitali o una
telecamera con riconoscimento facciale.

Per chi ha uno smartphone Android, la passkey di Google normalmente è già
stata generata automaticamente e non occorre fare nulla.

Per gli iPhone, invece, è necessario prima attivare il Portachiavi di iCloud e
l’autenticazione a due fattori. Se non sono attivi, l’iPhone invita
automaticamente ad attivarli. Poi si va nell’account Google, sempre nella
sezione Sicurezza, e si clicca su Usa passkey.

La
procedura
per Windows 11 è
sostanzialmente la stessa, con la differenza che si può scegliere dove viene salvata la passkey: sul
computer stesso oppure su un altro dispositivo collegato. Se la si salva su un
altro dispositivo, per usare la passkey quel dispositivo dovrà essere fisicamente vicino
al computer. Se la si salva localmente, per usare la passkey bisognerà
digitare il PIN di accesso a Windows oppure usare il riconoscimento facciale o
l’impronta digitale.

Per chi usa Linux e ChromeOS, invece, il supporto alle passkey è normalmente
limitato
a quelle passkey salvate su un dispositivo esterno (per esempio un telefono o una chiave hardware).

Non vi preoccupate se vi perdete qualche passaggio di queste istruzioni effettivamente piuttosto complicate: le trovate descritte in dettaglio presso Disinformatico.info.

È importante ricordare che le passkey normalmente si affiancano alle
password e non le sostituiscono; diventano però il primo metodo di
autenticazione che viene proposto. Questo vuol dire che per ora è ancora
possibile accedere agli account protetti da passkey anche usando le password
di quegli account e di conseguenza, le password vanno ancora custodite con
attenzione e devono essere ancora robuste e differenti, ma non è più necessario
usarle.

L’altra questione importante da ricordare è che al momento molti siti non
supportano ancora le passkey. Fra quelli che le supportano ci sono per esempio
1Password,
Amazon,
Okta,
PayPal, Shopify, Kayak, iCloud,
eBay,
Uber, Adobe,
Nintendo,
TikTok
e
GitHub, ma a volte lo fanno solo in alcuni paesi [dopo la chiusura di questo podcast si è aggiunto anche WhatsApp su Android].

Non c’è comunque bisogno di rincorrere le notizie e gli aggiornamenti:
se un sito o un’app inizia a supportare le passkey, il vostro dispositivo ve lo segnalerà
automaticamente la prossima volta che vi accederete. In ogni caso, un elenco
aggiornato dei siti che adottano le passkey è disponibile presso
Passkeys.directory, mentre l’elenco
dei dispositivi e browser supportati è presso il sito
Passkeys.dev.

Le paure più frequenti

Le passkey sono un concetto nuovo, a differenza delle password, per cui è
comprensibile che ci sia una certa riluttanza mista a diffidenza e che
circolino molte preoccupazioni. Per esempio, si teme che se si perde il
dispositivo sul quale risiede una passkey di un account diventi impossibile
accedere a quell’account, ma in realtà si può continuare ad accedervi tramite
la tradizionale password, almeno per ora, e si possono sempre usare i codici
di recupero d’emergenza che ogni utente prudente dovrebbe aver salvato.

Un’altra ansia frequente è che se un aggressore si impossessa di uno
smartphone sul quale risiedono delle passkey e quello smartphone è stato
sbloccato dall’utente, l’aggressore avrà così accesso diretto agli account gestiti
dalle passkey. Ma non è così, perché se ci proverà gli verrà chiesto di nuovo
di far leggere l’impronta digitale o eseguire il riconoscimento facciale o
immettere il PIN.

Alcuni utenti giustamente sensibili alla privacy sono contrari alle passkey
perché richiedono di fornire un’impronta digitale o una scansione del proprio
volto al gestore del servizio di passkey. Ma in realtà questi dati biometrici
non lasciano mai il dispositivo dell’utente, e se si usa già il sensore
d’impronte o la telecamera per sbloccare il telefono tanto vale usarlo anche
per le passkey. In ogni caso, se non si vogliono fornire al dispositivo né
impronte né immagini del proprio volto, ci si può sempre autenticare usando la
password di sblocco del dispositivo, che vale anche per le passkey.

Altri utenti non si fidano di Apple, Microsoft o Google e quindi non vogliono
che la parte segreta della passkey, quella che risiede sul dispositivo
dell’utente, venga trasmessa a queste aziende quando si fa la sincronizzazione
dei dati o quando si copia una passkey da un dispositivo a un altro. Anche
questa preoccupazione, però, è infondata, perché in realtà la parte segreta
della passkey non viene mai trasmessa in forma utilizzabile da terzi, perché è
crittografata end-to-end, e anche se queste aziende o altre
organizzazioni fossero capaci di superare questa crittografia non potrebbero
usare le passkey senza essere fisicamente vicine al dispositivo dell’utente.

Insomma, le passkey sono una tecnologia nascente ma robusta e pensata bene per
le esigenze degli utenti comuni, che comprensibilmente vogliono un sistema di
autenticazione semplice da usare ma resistente agli attacchi. Ed è chiaro,
dalle storie quotidiane di password perse, dimenticate o rubate e di account
violati o irrecuperabili, che il sistema tradizionale scricchiola da tempo
sotto il peso della sua complessità eccessiva. Vale quindi la pena di provare ad
abituarsi adesso alla comodità di autenticarsi semplicemente appoggiando un
dito su un sensore. È sicuramente meglio che avere la stessa password
dappertutto e avere come password il nome seguito dall’anno di nascita.

Non lo fa più nessuno, vero? Vero?

Fonti aggiuntive:
TechCrunch, Google,
Ars Technica.

Password di Word bucate a colpi di disco rigido, rinforzatele

Questo articolo vi arriva grazie alle gentili donazioni
di “luisamaif****” e “franzdh”. L’articolo è stato aggiornato dopo la
pubblicazione iniziale: alcuni commenti si riferiscono a versioni
precedenti.

Se usate ancora password a 40 bit, per esempio in Word, vi conviene
passare alle password a 128 bit. Quelle da 40, infatti, si scoprono in pochi
secondi usando una tecnica degli anni ’80 che grazie al crollo dei prezzi dei
dischi rigidi è passata dalla teoria alla pratica. E anche le password un po’
più toste, se non vengono usate con attenzione, sono soltanto questione di
tempo. Poco tempo.

Il Sydney Morning Herald
intervista
Christian Stankevitz, un esperto della Neohapsis, ditta statunitense
specializzata in consulenze sulla sicurezza informatica, e Pieter Zatko, che
qualcuno ricorderà come uno degli autori del mitico programma L0phtcrack che si
usava appunto per scoprire le password altrui (e per verificare la robustezza
delle proprie).

Stankevitz e Zatko decifrano le password per lavoro
(collaborano con governi e forze di polizia) adoperando un metodo descritto a
livello teorico per la prima volta negli anni 80 e noto come
rainbow table. Per ovvie ragioni, i
computer non memorizzano le password in chiaro, altrimenti sarebbe sufficiente
sapere dove si trova il file contenente le password e leggerle: le conservano in
forma cifrata (hash). Semplificando, le
rainbow table sono delle immense tabelle precompilate di equivalenze fra
password in chiaro e password cifrate.

Quando si deve scoprire la
password che protegge un file o un computer, si prende la versione cifrata della
password (custodita nel file o nel computer in questione) e la si confronta con
le voci di queste tabelle fino a che si trova una corrispondenza. Una volta
trovata, risalire alla password in chiaro è banale.

Con le rainbow
table, il tempo necessario per decifrare per forza bruta una password di un file
Word, per esempio, è crollato da una media di 25 giorni a pochi secondi. Si
bucano altrettanto rapidamente le password di Windows e delle vecchie versioni
di Acrobat (ma non di quelle nuove).

L’unico difetto di questa
tecnica è che richiede una quantità spropositata di spazio su disco (qualche
terabyte) per memorizzare le tabelle precalcolate che le consentono di essere
così veloce rispetto ai metodi tradizionali che effettuano i calcoli sul
momento, durante il tentativo di
cracking (decifrazione).

Ma
i prezzi dei terabyte di memoria sono sempre più bassi, per cui un computer in
grado di decifrare una password a 40 bit costa oggi qualche migliaio di euro:
più che alla portata di un gruppo criminale organizzato e ovviamente delle forze
dell’ordine.

Neohapsis consiglia di passare alle password a 128 bit
lunghe almeno 12 caratteri per i documenti e i computer contenenti informazioni
riservate e delicate, ma soprattutto di non usare la medesima password per
situazioni differenti. Il lavoro del detective informatico (o del criminale),
infatti, non è pura forza bruta: l’astuzia gioca la sua parte.

Per
esempio, se la vittima cifra una stessa password sia con funzioni a 128 bit sia
con funzioni a 40 bit, è inutile perdere tempo con quelle a 128: si va dritti a
quelle a 40 e si decifrano. Inoltre è molto probabile che la vittima usi la
medesima password per proteggere più di un documento o computer, per cui trovare
una password “debole” apre un varco che facilita il lavoro sulle password più
robuste.

Esistono delle tecniche di difesa contro questi assalti: la
più diffusa è l’aggiunta del “sale”, nel senso di
salt, come descritto nella
Wikipedia. Si tratta di
bit aggiunti alla password cifrata vera e propria, che rendono molto più oneroso
il lavoro di decifrazione. Ogni bit aggiuntivo, infatti, raddoppia la quantità
di memoria e di potenza di calcolo necessarie per il cracking.

Il
problema è che non tutti i programmi utilizzano il “sale” per rinforzare le
proprie password: per esempio, lo fa Linux, lo fa Mac OS X (solo
dalla 10.4 in poi), ma non lo fanno né le applicazioni in PHP né Windows NT/2000. Quindi basta
che l’intruso concentri i propri sforzi su questi programmi e sistemi operativi
più vulnerabili per ottenere il primo appiglio, dal quale lanciarsi per trovare
le password rimanenti.

Il consiglio, quindi, è di non limitarsi a
pensare
“ho protetto il documento con una password, sono al sicuro”, ma informarsi bene su quanto sia robusta la generazione delle password dei
programmi e dei sistemi operativi che si usano, e soprattutto evitare di usare
la medesima password in situazioni differenti (mai usare la stessa password per
la posta e per la contabilità, per esempio). E’ una sfida non banale: ma se
avete seriamente dei dati delicati da proteggere, bisogna affrontarla.

Occhio alla truffa: rubare le password di MSN. Ma a chi?

2022-10-30
di Paolo Attivissimo
Hotmail, password, PodcastRSI, ReteTreRSI, truffe, Yahoo

Questo articolo era stato pubblicato inizialmente sul sito della Rete Tre
della Radiotelevisione Svizzera, dove attualmente non è più disponibile.
Viene ripubblicato qui per mantenerlo a disposizione per la
consultazione.

Sta circolando un e-mail che propone
“l’unico metodo reale e funzionante per trovare le password dell’email di
qualsiasi utente Microsoft, Hotmail, MSN o Yahoo”.

Il metodo, stando all’e-mail, è semplicissimo: si compone un messaggio che ha
come destinatario un indirizzo del tipo
pwd_023staff_tecnico@hotmail.it e come titolo
“Lost password”. Nel corpo del messaggio scrivete il vostro indirizzo
di e-mail; poi lasciate una riga vuota e scrivete la password del vostro
indirizzo; infine lasciate una riga vuota e poi scrivete l’indirizzo di e-mail
di cui volete scoprire la password.

L’e-mail spiega che
“questo è l’unico metodo attualmente funzionante per scoprire le passwords.
Il metodo funziona perché il risponditore automatico del server si illude
che tu sia membro dello staff, perché solo loro conoscono il modo in cui
deve essere compilato il messagio [sic] di richiesta password. La
vulnerabilità colpisce anche il server di yahoo, in quanto anch’esso è
basato sullo stesso sistema. Questo è il miglior sistema per fregare il
server, esistono altri metodi, ma nn [sic] tutti funzionano, e i pochi che
funzionano rispondono al messaggio inviando la password molto in ritardo,
mentre con questo avrete la sicurezza di ricevere una risposta immediata o
quasi”.

Riporto per intero il prolisso spiegone perché è una parte importante del
messaggio: ma non nel senso che potreste credere.
Si tratta infatti di una trappola. La password che viene rubata,
infatti, è la vostra. La lunghezza delle istruzioni serve a mascherare
il fatto che vi viene chiesto di mandare la vostra password e il
vostro indirizzo di e-mail all’indirizzo indicato nelle istruzioni. Un
dettaglio che nell’esaltazione prodotta dall’idea di poter fare gli spioni e
nella confusione prodotta dalla prolissità del messaggio puo’ sfuggire.

Diffidate, quindi, di qualsiasi messaggio che vi spieghi metodi di questo
genere: finireste vittima della vostra disonestà.

Podcast RSI – Story: Come farsi scoprire 13 password in 30 secondi ed esserne felici

2022-10-28
di Paolo Attivissimo
autenticazione a due fattori, password, PodcastRSI, radio

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo
trovate presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.

Buon ascolto, e se vi interessano il testo integrale e i link alle fonti di
questa puntata, sono qui sotto.

—

[CLIP: “Quello
che succede a Las Vegas resta a Las Vegas”, da “Una notte da leoni”
(2009)]

Si dice sempre così, ma stavolta non è vero. Quello che è successo a Las Vegas
al corrispondente della CNN
Donie O’Sullivan sta facendo il giro
del mondo, perlomeno fra gli informatici. Il giornalista è stato preso di mira
da due hacker, che gli hanno scoperto le password in una manciata di minuti. E
non è la prima volta che gli è capitato. Eppure Donie O’Sullivan è
contento.

Questa è la storia di quello che è successo al giornalista, del motivo per cui
è felice di essere stato hackerato e di come si stanno evolvendo e
stanno diventando sempre più veloci le tecniche di scoperta delle password e
di conseguente violazione degli account. Ma naturalmente è anche la storia di
come si possono, anzi si devono, aggiornare i propri metodi di difesa
da queste violazioni. In questa storia ci sono lezioni utili per chiunque
abbia un account online di qualunque tipo.

Benvenuti a questa puntata del Disinformatico, il podcast della
Radiotelevisione Svizzera dedicato alle notizie e alle storie strane
dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Questa storia inizia ad agosto del 2019. Donie O’Sullivan è un corrispondente
della CNN, e alcuni suoi account vengono violati da due hacker, Rachel ed Evan
Tobac, marito e moglie. I due gli rubano circa 2500 dollari di punti fedeltà
alberghieri, gli cambiano i dettagli della prenotazione di un volo aereo che
deve fare prossimamente, e gli combinano altri dispetti relativamente leggeri.
Sappiamo i loro nomi perché si tratta di hacker etici, ossia di persone
esperte in sicurezza informatica che usano le proprie competenze a fin di
bene. Sono i cofondatori di una società di sicurezza informatica,
SocialProof Security, e in
questo caso hanno il consenso del loro bersaglio, cioè il corrispondente della
CNN, che li ha
sfidati amichevolmente
per vedere che cosa sarebbero riusciti a fare.

Tre anni più tardi, ad agosto 2022, i due hacker vengono ricontattati dal
giornalista della CNN per un nuovo esperimento. Mentre il loro primo tentativo
di tre anni prima aveva richiesto molta fatica e molto tempo, stavolta
riescono a scoprire ben tredici password di Donie O’Sullivan nel giro di mezzo
minuto, perché nel frattempo sono diventati disponibili nuovi strumenti di
attacco.

Rachel Tobac racconta in dettaglio in una
serie di tweet
come ha proceduto nel suo attacco. Per prima cosa si è fatta dare il consenso
esplicito del bersaglio, ossia il giornalista, e ha concordato un campo
d’azione ben preciso e delimitato nel quale effettuare l’intrusione e degli
obiettivi e limiti altrettanto dettagliati. E poi ha sfoderato gli strumenti
di lavoro.

Il primo di questi strumenti si chiama OSINT, che sta per
open source intelligence. Non è uno strumento in senso stretto: è una
serie di tecniche di ricerca tramite Google e altri motori di ricerca e anche
all’interno dei social network allo scopo di acquisire informazioni di
contorno sul bersaglio: indirizzi di mail, nomi di account, numeri di telefono
e altri dati personali potenzialmente utili. Queste informazioni sono spesso
disponibili online, e quindi si possono ottenere senza neanche interagire con
il bersaglio e pertanto senza allarmarlo. Inoltre Rachel prova a usare le
procedure di recupero sugli account del bersaglio, per vedere se lasciano
trapelare qualche altra informazione: cose come indirizzi di mail parziali,
numeri di telefono o caselle di mail d‘emergenza, oppure le ultime quattro
cifre di una carta di credito o un suggerimento per ricordare la password
dimenticata.

Rachel prende le informazioni di contatto di Donie che ha trovato con questa
ricognizione e le usa per fare una ricerca nel secondo strumento a sua
disposizione, che è una serie di breached password repository. Questi
sono strumenti relativamente nuovi e straordinariamente potenti, che vanno
spiegati bene, perché una volta che vi sarà diventato chiaro come funzionano
probabilmente correrete a cambiare il vostro metodo di gestione delle
password, come ho fatto anch’io.

—

Un breached password repository è un deposito pubblico di password
violate. Ogni tanto le aziende che forniscono servizi su Internet di qualunque
genere, dai grandi nomi come Netlog, Yahoo o LinkedIn fino ai negozietti
online, vengono attaccate dai criminali informatici, che rubano i loro archivi
di dati dei clienti. In questi archivi sono conservati i nomi utente, gli
indirizzi di mail e le password di ciascun utente; vengono rubati solitamente
per estorcere denaro, sotto la minaccia di pubblicarli causando un danno
d’immagine costosissimo all’azienda attaccata. Se l’azienda non paga, i dati
vengono pubblicati online per punizione.

Questi dati vengono trovati e raccolti da questi repository, che li
mettono a disposizione degli utenti, che così possono sapere per esempio se un
certo loro account è mai stato violato e quindi cambiare password per tempo, e
li offrono anche ai ricercatori e agli esperti di sicurezza ma anche,
inevitabilmente, ai criminali informatici. Un esempio di questi
repository pubblici è
Haveibeenpwned.com; un altro, quello
usato da Rachel in questo caso, è
Dehashed.com.

Potete usarli anche voi, per esempio digitando uno dei vostri indirizzi di
mail nelle loro caselle di ricerca, per sapere se quel vostro indirizzo è mai
stato violato.

Va chiarito che spesso le password degli utenti non finiscono in questi
depositi per colpa degli utenti: ci finiscono per colpa della gestione
inadeguata della sicurezza dei siti ai quali gli utenti si affidano. In altre
parole, potete essere la persona più attenta e blindata del mondo e usare le
password più complicate dell’universo, ma se il sito nel quale le usate è un
colabrodo, la vostra password finirà lo stesso in questi depositi, senza che
abbiate alcuna colpa.

A questo punto, insomma, Rachel, l’hacker etica, ha recuperato da questi
depositi alcune password di Donie, la sua vittima. Ma molte sono in forma
protetta, ossia sono degli hash, perché ormai quasi tutti i siti hanno
imparato a non custodire le password dei clienti in chiaro e a tenere soltanto
questa forma protetta, che ha il grosso vantaggio di consentire di verificare
molto facilmente se una password digitata è quella giusta e di rendere
estremamente difficile il percorso inverso, ossia scoprire la password
partendo dal suo hash. Tecnicamente un hash è una
funzione non invertibile: dalla password si può ottenere facilmente
l’hash corrispondente, ma non si può fare il contrario. O meglio, lo si può
fare solo con moltissimo tempo e tantissima potenza di calcolo, per cui
normalmente non ne vale la pena.

Rachel usa poi un terzo strumento: una
rainbow table, ossia un software che contiene, in forma già precalcolata o facilmente
calcolabile, le password corrispondenti a molti di questi hash, e così riesce a
recuperare alcune delle password del suo bersaglio, ma non tutte. Il tempo di
calcolo necessario per recuperare queste password mancanti facendo tutti i
tentativi possibili normalmente sarebbe infinitamente lungo, ma Evan, socio e
marito di Rachel, usa le informazioni raccolte da Rachel per ridurre il numero
di tentativi, e riesce così a scoprire anche quelle password.

Il suo trucco, spiegato in dettaglio in una sua
serie di tweet
pubblici, è relativamente semplice: sa che quasi sempre gli utenti usano
password che sono solo delle leggere varianti di quelle usate in passato. Un
esempio classico è la password pippo01, che quando scade diventa
pippo02, e così via. Per cui Evan dice a un altro software,
Hashcat, di provare tutte le
permutazioni leggermente differenti delle vecchie password di Donie scoperte
nei depositi da Rachel.

Con queste tecniche e questi strumenti, i due hacker riescono a trovare ben
tredici password del bersaglio nel giro di mezzo minuto.

[CLIP: Rachel Tobac: I was able to find 13 of his passwords within 30
seconds.]

Entrano nei suoi account sotto i suoi occhi, accedendo ai suoi profili sui
social network, ai siti dedicati ai viaggi, e altro ancora.

[CLIP: Is this a password that you use now? O’Sullivan: Yeah.]

L’esistenza di questi depositi di vecchie password cambia profondamente il
lavoro del criminale informatico e lo facilita moltissimo. Al tempo stesso,
questi depositi sono utili per allertare gli utenti onesti di eventuali
violazioni, per cui sarebbe deleterio chiuderli o bandirli, e quindi è probabile
che ce li terremo, nel bene e nel male, per molto tempo.

Inevitabilmente, un criminale informatico molto determinato, che ha come
obiettivo una vittima ben precisa, può usare questi depositi per conoscere le
abitudini passate di quella vittima in fatto di password e avere indizi
preziosi per indovinare le sue password correnti. Questo è un appiglio che in
passato non c’era. E allora come ci si difende?

—

I consigli dei due hacker a fin di bene sono molto pratici. Per prima cosa,
non dobbiamo usare la stessa password dappertutto, come fanno ancora
moltissimi utenti, neppure per i siti che consideriamo frivoli o poco
importanti, perché se uno qualsiasi dei servizi che usiamo viene violato,
anche senza alcuna colpa da parte nostra, l’aggressore tenterà per prima cosa
quella password su tutti i principali siti e quindi ci ruberà tutti i profili.

Questo è un consiglio che viene dato da tempo immemorabile; quello che cambia
oggi è che ormai non basta più usare password leggermente differenti nei vari
siti oppure aggiornare periodicamente le proprie password seguendo uno schema
abituale, perché le nostre abitudini ci tradiranno. Non c’è niente da fare:
servono password lunghe, completamente casuali, e tutte differenti tra loro.
Un incubo.

L’unico modo pratico per rispettare questi consigli, a questo punto, è usare
un cosiddetto password manager: un’app che generi e custodisca le
nostre password e le digiti automaticamente per noi quando ci servono. Ce ne
sono moltissime, fornite da vari produttori, come per esempio
1Password, e anche integrate nel browser
o nel sistema operativo, come per esempio l’Accesso Portachiavi in macOS e
sugli smartphone e tablet Apple oppure la Gestione credenziali in Windows 11.

La seconda raccomandazione della coppia di informatici è usare
l’autenticazione a due fattori, ossia la ricezione di un codice temporaneo
supplementare ogni volta che si entra nel proprio profilo su un nuovo
dispositivo, e applicare questa autenticazione a tutti i propri account.
Questo rende quasi impossibile il furto o la violazione dei nostri account.

Rachel e Evan concludono i loro consigli con una soluzione vecchio stile,
adatta a chi trova troppo complicato usare un password manager: un quadernetto
in cui scrivere tutte le proprie password. Il quadernetto va tenuto sotto
chiave, per esempio in un cassetto, e le password che contiene devono essere
tutte differenti, lunghe e complicate. Se non siete persone particolarmente
esposte, questo approccio analogico può essere sufficiente e soprattutto
utilizzabile in pratica. Aggiungendo l’autenticazione a due fattori la
protezione sarà comunque adeguata.

Insomma, non rimandate la messa in sicurezza dei vostri profili: procuratevi
subito un password manager o un’agendina e cominciate subito a cambiare le
vostre password. Perché non tutti gli hacker sono etici e simpatici come Evan
e Rachel, e non vorrei trovarmi a raccontare in questo podcast la
vostra storia di hackeraggio subìto per colpa di qualche azienda
maldestra nel custodire i vostri dati.

You should probably change your passwords. Here’s why 👇.
https://t.co/AjwQuo6PmL
pic.twitter.com/OpT8R9Hx9W

— CNN (@CNN)
October 21, 2022

Fonti aggiuntive:
CNN
(trascrizione del servizio); Rachel Tobac
“hackera”
Jeffrey Katzenberg;
conferenza di
Rachel Tobac a Context ’22.

Apple, Google e Microsoft si alleano per un prossimo futuro senza più password. Bene, ma come funzionerà?

2022-05-12
di Paolo Attivissimo
Apple, Google, Meta, Microsoft, password, PodcastRSI

Già sentire che Apple, Google e Microsoft si alleano per fare
qualcosa insieme fa notizia. Se poi l’alleanza in questione ha lo scopo
di abolire definitivamente le password, la notizia diventa quasi incredibile.
Ma stavolta pare proprio che si faccia sul serio e che ci si possa preparare
alla scomparsa delle password, che verranno sostituite da un sistema semplice e universale
chiamato FIDO. Provo a raccontarvi come funzionerà e come un sistema
più semplice possa essere più sicuro di quello complicato attuale.

Ci sono tre modi fondamentali per autenticarsi informaticamente: qualcosa che sai (per esempio una password o un PIN), qualcosa che hai (un dispositivo, tipo una tessera o smart card) e qualcosa che sei (un’impronta digitale oppure un altro dato biometrico, come per esempio il volto).

Proteggere i propri dati e i propri account usando soltanto il “qualcosa che sai”, ossia le password, come facciamo oggi, è scomodo, macchinoso e profondamente
insicuro. Molti utenti cercano di ridurre questa scomodità utilizzando password
facili da ricordare (e quindi facili da indovinare per i ladri) e adoperando
la stessa password dappertutto, col rischio di vedersi rubare tutti gli
account in caso di furto di quella singola password.

Alcuni utenti usano l’autenticazione a due fattori: per collegarsi a un
account su un dispositivo nuovo devono digitare non solo la password ma anche
un codice usa e getta, ricevuto tramite mail o SMS o generato da un’app sullo
smartphone. Questo migliora parecchio la sicurezza, perché il ladro deve scoprire la password e anche intercettare questo codice usa e getta: deve insomma scoprire il “qualcosa che sai” e impossessarsi fisicamente di un “qualcosa che hai” (ossia lo smartphone della vittima sul quale arriva il codice). Ma questo sistema è macchinoso,
richiede che l’utente si ricordi la password e digiti anche un codice distinto
per ciascun servizio, e comunque i ladri informatici di oggi sanno creare
trappole
per carpire anche questi dati.

Microsoft, Google e Apple propongono invece, tramite il sistema FIDO, di
lasciar perdere le password e i codici da digitare manualmente e di usare al
loro posto una chiave digitale unica, valida per tutte e tre queste aziende e
probabilmente anche per molti altri fornitori di servizi che si accoderanno a
questa alleanza di giganti informatici. Questa chiave è un codice
crittografico estremamente complesso che viene conservato sullo smartphone,
sul tablet o sul computer dell’utente (o anche su tutti questi dispositivi
contemporaneamente) e, volendo, viene conservato anche su Internet, e che l’utente
non ha mai bisogno di digitarlo. FIDO è un sistema di sicurezza
completamente passwordless, ossia senza password.

In pratica, se voglio accedere a un mio account, mi basta il “qualcosa che sei”, per esempio il sensore
d’impronta o il riconoscimento facciale del mio dispositivo. Tutto qui. Il
volto o l’impronta non vengono trasmessi via Internet: restano nel
dispositivo.

Se cambio o perdo il mio dispositivo, posso recuperare questa chiave usando un
altro dispositivo già autenticato sul quale ho già la medesima chiave. Anche
qui, niente password di recupero. Il sistema FIDO resiste ai furti perché non
posso essere indotto con l’inganno a digitare password o codici nel sito dei
truffatori, visto che non ho nulla da digitare.

Inoltre quando accedo a un sito usando un nuovo dispositivo, il mio smartphone
o altro dispositivo che contiene la mia chiave deve essere fisicamente nelle
immediate vicinanze di quel nuovo dispositivo mentre lo autorizzo. Questa vicinanza viene verificata tramite una trasmissione
Bluetooth. E così se voglio, per esempio, leggere la mia posta di Gmail sul
computer di qualcun altro, devo solo visitare Gmail con quel computer,
scrivere il mio indirizzo di mail e poi toccare il sensore d’impronta o
guardare la telecamera del mio smartphone per autenticarmi.

Il controllo di vicinanza tramite Bluetooth impedisce a un ladro remoto di
entrare nel mio account convincendomi con l’astuzia a confermare il suo accesso sul
mio smartphone, e durante questo scambio di dati via Bluetooth il mio telefonino verifica anche che il computer si stia collegando al sito vero e non a un
sito truffaldino che gli somiglia nel nome e nella grafica. In caso di furto
del telefonino, il ladro dovrebbe riuscire a scavalcare il sensore d’impronta
o il riconoscimento facciale per poter tentare di usare la chiave.

Tutto questo dovrebbe funzionare con qualunque sistema operativo (Windows, iOS, Android o
altri), con qualunque browser moderno e con qualunque dispositivo recente.

Troppo semplice per essere sicuro? Troppo bello per essere vero? Lo
scopriremo presto. La FIDO Alliance, che coordina lo sviluppo di questo
sistema e include anche Intel, Qualcomm, Amazon e Meta oltre a banche e
gestori di carte di credito, prevede che FIDO comincerà ad entrare in funzione
entro la fine del 2022. In Giappone, già circa
30 milioni di utenti Yahoo
sono già passwordless.

È vero che si sente parlare di eliminazione delle password da almeno un
decennio, ma la collaborazione di Apple, Google e Microsoft e il fatto che con il sistema FIDO tutto il
necessario è già nelle mani di alcuni miliardi di utenti, che non devono comprare dispositivi appositi, potrebbero fare davvero la
differenza.

Maggiori dettagli sul sistema FIDO sono reperibili sul sito
Fidoalliance.org, nel
blog ufficiale
di Google
e sul
sito
di Microsoft.

Fonte aggiuntiva:
Ars Technica.

Thunderbird fa le bizze con Gmail? Questione di cookie. E bisogna prepararsi al 30 maggio

2022-04-11
di Paolo Attivissimo
autenticazione a due fattori, Google, password, Thunderbird

Segnalo qui brevemente la soluzione di un problema che mi ha fatto perdere un
bel po’di tempo stamattina con Thunderbird, perché dopo l’aggiornamento più
recente non ne voleva sapere di accedere a quasi tutti i miei account Gmail.
Compariva questa simpatica schermata, che non portava da nessuna parte: i link
non erano cliccabili e i menu a tendina non funzionavano.

Ho provato di tutto, dalla disattivazione dell’autenticazione a due fattori
all’abilitazione delle “app insicure” alle password una tantum app-specifiche
agli account di recupero: niente da fare. Poi, grazie a un po’ di ricerca
online, ho trovato
questo suggerimento su Reddit: bisogna verificare che Thunderbird accetti i cookie (in Preferenze –
Privacy e sicurezza – Accetta i cookie dai siti). Funziona tutto.

Tuttavia il rimedio potrebbe avere vita breve: Google ha
annunciato
tempo fa che
“a partire dal 30 maggio 2022, Google non supporterà più l’uso di app di
terze parti o dispositivi che chiedono di accedere all’Account Google
utilizzando solo il nome utente e la password.”

Se state accedendo ad account Gmail usando l’opzione
“Accesso app meno sicure”, tenete presente che quest’opzione scomparirà il 30 maggio prossimo. La
soluzione, descritta
qui, consiste nell’impostare il proprio account di mail in modo che usi OAuth2.
O almeno così pare. Vedremo cosa succede dopo il 30 maggio.

2022/04/11: Mozilla Italia, nei commenti qui sotto, segnala una miniguida molto utile e pubblica maggiori informazioni qui.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.

Informatico prende il controllo di alcune decine di Tesla. Ha sfruttato una falla di un’app non-Tesla

2022-02-04
di Paolo Attivissimo
falle di sicurezza, password, PodcastRSI, radio, Tesla

David Colombo.
Credit:
Bloomberg.

Ultimo aggiornamento: 2022/02/04 11:30.

Un diciannovenne tedesco, David Colombo, ha fatto prendere uno spavento a
tanti possessori di auto elettriche Tesla: ha
dichiarato
pubblicamente, pochi giorni fa, di essere riuscito a prendere il controllo
remoto di una ventina di queste automobili, che come tante auto moderne sono
costantemente connesse a Internet.

So, I now have full remote control of over 20 Tesla’s in 10 countries and
there seems to be no way to find the owners and report it to them…

— David Colombo (@david_colombo_)
January 10, 2022

Ha detto di aver fatto sbloccare le loro portiere, abbassare i finestrini,
suonare il clacson. Colombo ha anche affermato di essere riuscito ad
accedere a molti dati personali dei proprietari di questi veicoli e ad
attivare la funzione di guida senza chiave, quella che consente di condurre il
veicolo anche se il guidatore non ha con sé la speciale chiave o tessera
elettronica che sblocca l’auto.

Una mappa dei viaggi di un utente Tesla in California, acquisita da David
Colombo e pubblicata da
TechCrunch.

Ma niente panico: David Colombo si è comportato in maniera responsabile e non
ha divulgato al mondo i dettagli della sua tecnica. Però li ha comunicati a
Tesla e soprattutto ai gestori di
TeslaMate, che è
una popolare app di telemetria, realizzata da privati non associati a Tesla.
Infatti la falla non era nel software originale di Tesla, ma nell’app non
ufficiale (TeslaMate), che non custodiva correttamente le chiavi digitali dei
proprietari che si affidavano all’app e in particolare non proteggeva
adeguatamente la cosiddetta API Key.

Dopo che Tesla e TeslaMate hanno corretto l’errore che aveva consentito a
Colombo di prendere il controllo delle auto, il giovane informatico ha
pubblicato
il metodo di intrusione che aveva utilizzato, spiegando che le auto erano
vulnerabili soltanto se i proprietari usavano l’app TeslaMate. Tutti quelli
che usavano soltanto l’app ufficiale di Tesla non erano a rischio. Colombo ha
ribadito
che la colpa della vulnerabilità era principalmente degli utenti incauti.

Gli errori dell’app non ufficiale, comunque, erano piuttosto grossi: il
pannello di controllo dell’app consentiva l’accesso anonimo e l’uso di
password predefinite che molti utenti non cambiavano. Quando Colombo si
è accorto della situazione, ha avviato una scansione di tutta Internet alla
ricerca di pannelli di controllo di TeslaMate accessibili da remoto e ne ha
trovati parecchi nel Regno Unito, in Europa (Germania, Belgio, Finlandia, Danimarca, Italia, Irlanda, Francia, Austria e Svizzera), in Canada, in Cina e negli Stati
Uniti.

A quel punto il suo problema principale è diventato quello di allertare i
proprietari senza violare la loro sicurezza, ma si è dovuto arrendere di
fronte all’impossibilità di farlo in troppi casi. E così ha pubblicato la sua
generica segnalazione iniziale.

Sia Tesla, sia TeslaMate hanno reagito molto rapidamente,
correggendo
il problema nel giro di poche ore, ma episodi come questo sottolineano la
delicatezza dei veicoli connessi a Internet di qualunque marca: se non vengono
adottati standard elevati di sicurezza e se non si educano gli utenti ad
essere altrettanto diligenti nell’uso delle password e di app non ufficiali,
incidenti come questo capiteranno ancora.

Siate prudenti e, se avete un’auto iperconnessa o comunque comandabile da
remoto, custodite la sua password con la stessa attenzione con la quale
custodite le sue chiavi. La gestione remota è una grande comodità, ma comporta
anche nuove abitudini di sicurezza.

Fonti: David Colombo (comunicazione personale),
TechCrunch,
Bloomberg,
Business Insider.

Sondaggio Bitdefender: un utente su due usa la stessa password ovunque

2021-11-27
di Paolo Attivissimo
antivirus, password, PodcastRSI, ReteTreRSI, sicurezza, smartphone, statistiche

Bitdefender ha effettuato un sondaggio sulle pratiche di base di sicurezza
informatica in 11 paesi, e i risultati sono piuttosto deludenti: c’è ancora
tanta strada da fare. Per esempio, il 50% degli intervistati ha ammesso
disinvoltamente di usare la stessa password per tutti gli account. Un altro
32% ha detto di usare solo poche password, che adopera più volte su vari account.

Il sondaggio (PDF scaricabile, in inglese;
comunicato stampa
riassuntivo in italiano) si basa su un campione di 10.124 intervistati in
Australia, Stati Uniti, Regno Unito, Francia, Germania, Italia, Spagna, Paesi
Bassi, Romania, Svezia e Danimarca, di età fra 18 e 65 anni.

Sempre a proposito di password, più di una persona su quattro usa password
banali (tipo 1234) come PIN di blocco del cellulare, e più di una
persona su dieci non usa nessun PIN. Gli uomini tendono a usare password
semplici più delle donne (31% contro 23%). Poi chiediamoci come mai i furti di
account sono così frequenti.

Per quanto riguarda gli antivirus, più di uno su tre (35%) non ne usa sul
proprio smartphone e il 30% ritiene che i telefonini non ne abbiano bisogno.
Eppure il 66% dice di aver avuto almeno una minaccia informatica su quello
stesso cellulare negli ultimi 12 mesi.

Il sondaggio copre anche l’uso degli smartphone e degli altri dispositivi
digitali connessi da parte dei bambini (36% è senza supervisione) e molti
altri aspetti della vita digitale.

Nel
comunicato stampa
sono disponibili anche i dati riferiti all’Italia. Qualche esempio: le
piattaforme maggiormente utilizzate sono WhatsApp e Facebook (nessuna
sorpresa); fra i 18 e 24 anni spadroneggiano Instagram e TikTok, nella fascia
25-34 si usano maggiormente Instagram e Netflix, e dai 45 ai 65 anni
prevalgono Gmail e Facebook. Gli smartphone più diffusi sono gli Android. Un
quarto degli utenti non usa un antivirus sul proprio dispositivo mobile; un
quinto abbondante (23%) usa una password semplice per gli account online
mentre il 22% usa una password semplice o non ha affatto una password.

Malvivente incastrato dalla foto del formaggio

2021-11-27
di Paolo Attivissimo
fotografia digitale, impronte digitali, informatica forense, OPSEC, password, PodcastRSI, ReteTreRSI

Incastrato dal formaggio: nel Regno Unito, uno spacciatore è stato identificato online e condannato grazie a una foto delle sue dita che impugnavano un pezzo di Stilton, pubblicata online.

Il trentanovenne Carl Stewart, residente a Liverpool, è stato arrestato, si è dichiarato colpevole di spaccio di stupefacenti e condannato a tredici anni e sei mesi di reclusione. Tutto, secondo il resoconto della polizia del Merseyside, partendo da una singola fotografia di una sua mano.

La foto era stata postata su EncroChat, un servizio di messaggistica oggi scomparso, da un utente che si faceva chiamare Toffeeforce e che usava EncroChat per i suoi traffici illeciti. Una tipica foto da social network: una mano che, in un supermercato della catena Marks & Spencer, mostra alla fotocamera un pezzo di formaggio confezionato.

Stewart non ha considerato che l’immagine aveva una risoluzione sufficiente a consentire di estrarne le impronte digitali e del palmo della mano e identificarle come appartenenti a lui. Questo ha permesso agli inquirenti di associare l’account su Encrochat alla sua identità e quindi di incriminarlo.

Non è la prima volta che vengono estratte impronte digitali dalle fotografie, come nota The Register: l’esperto di biometrica Jan Krisller lo aveva fatto nel 2014, a titolo dimostrativo, con una foto di una mano dell’allora ministro della difesa tedesco Ursula von der Leyen.

A parte la stranezza divertente di leggere in un rapporto di polizia che uno spacciatore di stupefacenti “è stato smascherato dal suo amore per il formaggio Stilton”, episodi come questi ci ricordano la differenza fondamentale fra impronta digitale e password, spesso dimenticata da chi si affida a sensori d’impronta e simili: la password è una cosa che puoi cambiare e tieni segreta, l’impronta digitale è fissa e la mostri letteralmente a tutti. E si può estrarre da una foto fatta con uno smartphone.

Fonte aggiuntiva: Snopes/Associated Press.

Le centomila password più usate e quindi da evitare, offerte dal National Cyber Security Centre britannico e da Haveibeenpwned.com

2021-11-27
di Paolo Attivissimo
password, PodcastRSI, ReteTreRSI, sicurezza informatica

Una volta tanto posso segnalare un archivio strapieno di password, pubblicato su Internet, senza che ci sia alcun pericolo di sicurezza informatica. Anzi, questo archivio è stato pubblicato allo scopo di aumentare la sicurezza.

Si tratta infatti della raccolta delle centomila password più popolari, classificate dal sito Have I Been Pwned (pronunciato powned) di Troy Hunt, che raccatta su Internet gli elenchi di password rubate e li analizza per vedere quali password vengono utilizzate maggiormente dagli utenti.

L’elenco è scaricabile qui presso il National Cyber Security Centre britannico.

Se una delle vostre password figura in questo elenco, la raccomandazione dell’NCSC è di cambiarla immediatamente. La ragione di questa raccomandazione così tassativa è in questo post dell’ente: in sintesi, gli aggressori sanno benissimo quali sono le password più usate e quindi tentano di entrare nei sistemi o di rubare account provando prima di tutto queste password popolari.

Certe password, fra l’altro, sono molto popolari: nelle compilation di password rubate collezionate da Troy Hunt la password 123456 è stata trovata 23 milioni di volte. Persino una password abbastanza insolita (in apparenza) come oreocookie compare oltre 3000 volte.

Elenchi come questi rafforzano la sicurezza anche in modo preventivo: possono essere infatti usati come base per delle denylist, ossia degli elenchi di password che gli utenti non possono proprio usare nel sistema informatico nel quale operano.

Queste sono le prime venti password più popolari secondo questa classifica: ci sono alcuni classici senza tempo, come le intramontabili qwerty e password, e spiccano quelle “originali” come 1q2w3e4r5t (primi cinque caratteri della prima e seconda fila di tasti).

123456
123456789
qwerty
password
111111
12345678
abc123
1234567
password1
12345
1234567890
123123
000000
iloveyou
1234
1q2w3e4r5t
qwertyuiop
123
monkey
dragon