autodifesa-digitale/slides/password.md

78 lines
3.3 KiB
Markdown
Raw Normal View History

2018-08-08 18:12:51 +02:00
<!-- .slide: data-background="https://ak7.picdn.net/shutterstock/videos/25863227/thumb/5.jpg" -->
<br/><br/>
2018-07-24 16:16:08 +02:00
# Password
2018-08-29 01:40:50 +02:00
--
2018-07-24 16:16:08 +02:00
Le password sono la prima barriera di accesso a dati che vogliamo
tenere per noi.
2018-08-29 01:40:50 +02:00
2018-07-24 16:16:08 +02:00
Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare
nel computer e nei mille servizi digitali a cui accediamo.
--
2018-08-29 01:40:50 +02:00
### Ma...
Non siamo bravi a scegliere delle buone password
2018-08-07 23:35:07 +02:00
2018-08-08 18:12:51 +02:00
- <!-- .element: class="fragment" --> E' la password di gmail?
<span>➜ ci mettiamo `gmail` <!-- .element: class="red" --> in mezzo</span> <!-- .element: class="fragment" -->
- <!-- .element: class="fragment" --> Usiamo concetti ricordabili
<span>➜ date di nascita, nomi di amic\*/compagn\*</span> <!-- .element: class="fragment" -->
- <!-- .element: class="fragment" --> Riusiamo la stessa password in molti posti.
2018-08-07 23:35:07 +02:00
2018-08-08 18:12:51 +02:00
<br/>
In pratica scegliamo password facilmente indovinabili.
2018-08-07 23:35:07 +02:00
<!-- .element: class="fragment" -->
2018-08-08 18:12:51 +02:00
--
2018-08-29 01:40:50 +02:00
Spinti a migliorare le nostre password
2018-08-08 18:12:51 +02:00
![img/passhint.png](https://www.guideitech.com/wp-content/uploads/2014/09/HT4232_01-appleid-security-it.010-it.png)
--
2018-08-29 01:40:50 +02:00
scegliamo le soluzioni piu' semplici e prevedibili
2018-08-08 18:12:51 +02:00
- <!-- .element: class="fragment" --> e' la password di facebook ➜ **facebookpassword**
- <!-- .element: class="fragment" --> inserisci almeno una maiuscola ➜ **Facebookpassword**
- <!-- .element: class="fragment" --> inserisci almeno un numero ➜ **Facebookpassword1**
- <!-- .element: class="fragment" --> inserisci almeno un simbolo ➜ **Facebookpassword1!**
2018-08-07 23:35:07 +02:00
notes:
Sono tutti schemi facilmente immaginabili.
2018-08-08 18:12:51 +02:00
--
2018-08-07 23:35:07 +02:00
### Come lo sappiamo?
Negli ultimi anni sono stati bucati tanti servizi e milioni di password sono diventate pubbliche (leak)
permettendo di farci ricerca sopra e si, le password piu' usate sono `123456` e `password`,
gli schemi usati sono drammaticamente ricorrenti.
2018-09-04 22:40:26 +02:00
- RockYou / [analisi](https://www.passcape.com/index.php?section=blog&cmd=details&id=17)
- Sony/PlayStation Network account
- Ashley Madison
2018-09-15 19:47:01 +02:00
- https://haveibeenpwned.com/
2018-08-08 18:12:51 +02:00
--
### Password Cracking
2018-09-04 22:40:26 +02:00
Esistono programmi e servizi che tentano ripetutamente password basandosi sulla nostra prevedibilità
e si basano comunemente su dizionari a cui vengono applicate delle regole (permutazioni, aggiunte di prefissi/suffissi,
2018-07-24 16:16:08 +02:00
cambio di caratteri comuni, maiuscole/minuscole).
2018-09-04 22:40:26 +02:00
Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il material digitale del target.
2018-08-07 23:35:07 +02:00
notes:
2018-08-29 01:40:50 +02:00
Mostrare un piccolo esempio di `hashcat` (da preparare)
2018-07-24 16:16:08 +02:00
--
2018-08-07 23:35:07 +02:00
### E quindi?
2018-08-29 01:40:50 +02:00
Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo.
--
2018-08-07 23:35:07 +02:00
### Password manager
Usiamo dei programmi che generano le nostre password per noi, tipo [KeepPassXC](https://keepassxc.org) (support your local software).
2018-09-04 22:40:26 +02:00
Si ricordano delle password sicure per noi, in cambio di una sola master password (passphrase).
2018-08-07 23:35:07 +02:00
notes:
2018-08-08 18:12:51 +02:00
spiegare master password, che e' possibile fare piu' liste di password, suggerire buone pratiche.
--
2018-08-07 23:35:07 +02:00
### E la master password?
2018-08-29 01:40:50 +02:00
Per le poche passphrase che non possiamo salvare usiamo i seguenti accorgimenti:
2018-08-07 23:35:07 +02:00
2018-08-29 01:40:50 +02:00
- mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce)
- mai condividere una passphrase (no no no e no)
- mai scrivere una passphrase (a parte se sai quello che stai facendo)
2018-08-07 23:35:07 +02:00
- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra per ricordarle.
2018-08-08 18:12:51 +02:00
notes:
2018-08-29 01:40:50 +02:00
il `4` del primo punto e' un numero a caso.
esempio live di scelta passphrase.