lunedì 23 marzo 2009

Post-it

Per circa tre anni sono stato l'amministratore di sistema di questa baracca, e in quanto tale responsabile anche della sua sicurezza. L'approfondire i motivi per i quali un quasi-avvocato abbia dovuto imparare a configurare un firewall e sviluppare un piano di disaster recovery esula da questo post: serve solo a farvi capire che qualcosina sulla gestione delle password posso dirla con una minima cognizione di causa, anche se da alcuni anni ho ripreso ad occuparmi -per fortuna- di cose legali
Ovviamente in quanto amministratore di sistema avevo tanti account, con tante password, tutte diverse tra loro, complicate e barocche, che conoscevo a memoria e che per sicurezza erano scritte in forma blandamente codificata in un foglietto che tenevo nel portafoglio, just in case, e che non ho mai utilizzato. Ma quello di ricordare le password era parte sostanziale del mio mestiere.
Chi fa analisi di bilancio, o immette rate nel terminale, o si occupa delle spedizioni, invece, ha quella come principale attività. Dovrebbe, anzi deve essere adeguatamente informato sulla necessità di avere delle password un minimo robuste, ma come insegnano le buone regole dovrebbe essere messo in grado di sviluppare un pattern mnemonico talché le proprie password risultino per lui facili da ricordare, ma difficili da indovinare per gli altri.
Se così non è, è automatico che la password venga attaccata al monitor un minuto dopo essere stata assegnata o inserita: per il semplice motivo che la mattina uno che non si occupa direttamente di sicurezza deve iniziare a lavorare: non può, non deve e soprattutto non vuole tirare sempre fuori il portafogli o cercare di ricordare combinazioni di lettere e numeri che a lui non dicono niente; col pericolo poi che esauriti i tentativi di accesso si debba aprire una richiesta di reset, buttando via una mezza giornata di lavoro prima che arrivi la risposta.

L'utente standard qui ha da rammentare due password: quella del dominio windows e quella del sistema informativo legacy. Le nuove policy di sicurezza prevedono che le password:
- scadano ogni 90 giorni;
- debbano essere diverse dalle ultime 18 password utilizzate in precedenza.

Oltre a ciò, sono state poste regole di complessità diverse per i due sistemi: nel primo la password:
-deve essere lunga almeno 8 caratteri
-deve essere composta da almeno 5 caratteri differenti
-deve contenere almeno una maiuscola
-non può avere più di 4 parti ricorsive;
-non deve ricalcare il seguente schema: 2 caratteri alfabetici, 6 caratteri numerici, 1 carattere alfabetico;
-la parola diretta o quella inversa scelta come password non deve essere contenuta in un dizionario contenente circa 77000 parole tra italiane e inglesi e sequenze di numeri.

Nel secondo la password:
- deve essere lunga almeno 8 caratteri;
- può contenere solo caratteri alfanumerici;
- deve contenere caratteri numerici;
- non deve contenere caratteri numerici adiacenti;
- non può contenere alcun carattere che si trovi nella stessa posizione in cui si trovava nella password precedente!

Dopo l'emanazione delle regole di complessità per il primo sistema, in vigore già da qualche mese, è nato un fiorente mercato nero delle password "funzionanti": alti dirigenti e semplici commessi dopo aver tentato cinque o sei volte di cambiare password che venivano sempre rifiutate hanno iniziato a chiamare i fortunati colleghi che erano riusciti, per logica o puro culo, a trovarne una accettata. In pratica mezza banca utilizza tre o quattro password, tutte ugali fra loro.
Con l'entrata in vigore in questi giorni delle regole di complessità per il secondo sistema, il mercato diventerà ancora più fiorente; per intanto è iniziata la corsa all'accaparramento dei post-it.

13 commenti:

antonio ha detto...

E' piu' facile essere meno strict sulle regole per generare le password, basta dire che deve essere almeno di 10 caratteri, il tipo ci mette una frase, se la ricorda e non ha bisogno di nessun post-it

.mau. ha detto...

"non può contenere alcun carattere che si trovi nella stessa posizione in cui si trovava nella password precedente" è da suicidio (o da rotazione della password: a gennaio metti abcdefghijk1, a febbraio bcdefghijk1a, e così via).

Per il resto, il sistema più semplice di creare una "possword" (una password possibile) è scegliere una frase e mettere le iniziali: Nmdcdnv34 è l'inizio dell'Inferno con il numero dei canti.

mfisk ha detto...

@antonio: questo è ciò che pensa uno che ragiona normalmente :-)

@.mau.: infatti hai perfettamente ragione: l'unico modo di trovare diciotto password diverse, delle quali ciascuna rispetti la regola con la precedente, è quella di ruotare i caratteri della tastiera.
Quanto a me, per seguire il tuo esempio, alcune password storiche erano "qrdldC18$=" e "aeipcdmTSE". Da enigmista non dovrebbe essere troppo difficile interpretarle!
P.S.: sono fermo a "torino" e non ne riesco a uscire. Un hint?

Taz70 ha detto...

Veramente perverso. Ma hai per caso partecipato alla stesura di queste policy di sicurezza?
In ogni caso, mi sembra un bel caso di creazione di un mercato da zero.
Non avrei mai pensato che le pwd potessero diventare una risorsa limitata.
Ah! L'ingegno umano.

mfisk ha detto...

In effetti detto come l'ho detto potevano capirlo solo quei cinque lettori più affezionati.
No, da tempo ormai non mi occupo più di nulla che abbia anche lontanamente a che fare con computer e reti. E policy di sicurezza ;-)

.mau. ha detto...

Torino è il nono elemento di una lista abbastanza nota. Occorre trovare il decimo.

mfisk ha detto...

Ho paura che il tuo concetto di "abbastanza noto" sia lievemente divergente dal mio, ma mi ci applicherò.
Perlomeno escludo complessi ragionamenti matematici in base 36 ;-)))

mfisk ha detto...

In effetti non era poi così divergente :-) Però ho l'attenuante di non averlo mai fatto.

Anonimo ha detto...

Io invece ricordo solo 1 password lunga e complessa, uso il key file e vivo felice:

http://keepass.info/
(Ho dentro circa 400 pwd, vecchie e nuove)

In alternativa:

http://passwordsafe.sourceforge.net/index.shtml

Ricadatevi di fare il bck del file db e del key file, che se lo perdete addio pwd!!

mfisk ha detto...

Dovendo fare login su tante macchine e sistemi diversi (metà dei quali accettavano solo la riga di comando), non è che la cosa fosse agevole. e poi non so perché, ma i gestori di password non mi hanno mai dato fiducia.
Non uso nemmeno Wand (che ben conosci) su Opera, per dire.

Anonimo ha detto...

@mfisk
dici di non fidarti dei gestori di password.

Una wand di un browser è quasi un suicidio, visto che i browser sono i sw più attaccati (e bacati) in assoluto e sono spesso a sorgente chiuso (e sono solo utili nel web). Invece i gestori di pwd *possono* essere sufficientemente affidabili.

E' ovvio che:
1) ti devi fidare di chi scrive il sw;
2) deve essere a sorgente aperto (il perché è lungo da spiegare);
3) deve utilizzare sistemi crittografici noti e affidabili;
4) il sw deve essere sempre aggiornato e configurato secondo le proprie esigenze;
5) la pwd che protegge il db delle pwd non deve essere il nome del proprio cane.

Dati i puni 1-5 i costi sono nulli, i benefici molti (dovrei avere un libro per memorizzare 300 pwd, anzi due per avere un backup) e i rischi sufficientemente bassi (=remoti). Ovvero l'attacco alle tue pwd può avere successo in questi casi:
1) pwd del db debole;
2) bug del sw o sw scritto male (ma quelli a sorgente aperto sono molto rapidi a correggere gli errori e raramente sono scritti male);
3) altri problemi di sicurezza non relativi al db delle pwd.

Ad oggi è molto più economico utilizzare il punto 3 per rubare segreti.

ciao
nicola.

mfisk ha detto...

Mi sono espresso male: ho scritto "non mi danno fiducia" dando l'impressione che non mi fido perché temo che possa esserci un pezzo di codice che prende le mie password e le manda ingiro all'universo mondo.

In realtà volevo solo dire che non mi sono congeniali, e che preferisco (o preferivo) fidarmi della mia memoria perché so che quella me la posso portare sempre dietro, e posso utilizzarla su qualunque computer.
Per lo stesso motivo sul telefono dell'ufficio non utilizzo la rubrica per memorizzare i numeri: quando lo facevo non sapevo a memoria neppure il telefono della mia fidanzata, e una volta che dovetti chiamarla perché avevo dimenticato il cellulare furono dolori!

Anonimo ha detto...

Is social media going to kill SEO?

 

legalese
Il contenuto di questo sito è rilasciato con la seguente licenza:
- ognuno può farne quel che gli pare
- l'eventuale citazione del nome dell'autore e/o del blog è lasciata alla buona educazione di ciascuno