# Password -- Le password sono la prima barriera di accesso a dati che vogliamo tenere per noi. Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare nel computer e nei mille servizi digitali a cui accediamo. -- ### Ma... Non siamo bravi a scegliere delle buone password - E' la password di gmail? ➜ ci mettiamo `gmail` in mezzo - Usiamo concetti ricordabili ➜ date di nascita, nomi di amic\*/compagn\* - Riusiamo la stessa password in molti posti.
In pratica scegliamo password facilmente indovinabili. -- Spinti a migliorare le nostre password ![img/passhint.png](https://www.guideitech.com/wp-content/uploads/2014/09/HT4232_01-appleid-security-it.010-it.png) -- scegliamo le soluzioni piu' semplici e prevedibili - e' la password di facebook ➜ **facebookpassword** - inserisci almeno una maiuscola ➜ **Facebookpassword** - inserisci almeno un numero ➜ **Facebookpassword1** - inserisci almeno un simbolo ➜ **Facebookpassword1!** notes: Sono tutti schemi facilmente immaginabili. -- ### Ma soprattutto.. Usiamo la stessa password per più siti/servizi ![scimmia](https://www.riscossacristiana.it/newwebsite/wp-content/uploads/2015/01/zzscmm.jpg) notes: chiedere perche' e' un problema.... -- ### Orrore! i dipendenti di ogni servizio hanno accesso ad ogni altro servizio! quando (non se) uno dei servizi viene bucato, gente a caso ha accesso ad ogni vostro servizio (se leggete i giornali, succede un giorno si e l'altro pure). E' talmente diffusa la cosa che mozilla ha un servizio per fare un check ➜ [monitor.firefox.com](https://monitor.firefox.com) -- ### Leak Negli ultimi anni sono stati bucati tanti servizi e milioni di password sono diventate pubbliche (leak) permettendo di farci ricerca sopra e si, le password piu' usate sono `123456` e `password`, gli schemi usati sono drammaticamente ricorrenti e la maggior parte delle persone riusa le password in piu' servizi. Una lista di servizi la cui compromissione è pubblica è [qui](https://haveibeenpwned.com/PwnedWebsites) -- ### Password Cracking Esistono programmi e servizi che tentano ripetutamente password basandosi sulla nostra prevedibilità e si basano comunemente su dizionari a cui vengono applicate delle regole (permutazioni, aggiunte di prefissi/suffissi, cambio di caratteri comuni, maiuscole/minuscole). Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il material digitale del target. notes: Mostrare un piccolo esempio di `hashcat` (da preparare) -- ### E quindi? Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo. -- ### Password manager Usiamo i password manager. Sono dei programmi che generano e si ricordano delle password sicure, in cambio di una sola master password (passphrase). notes: spiegare master password, che e' possibile fare piu' liste di password, suggerire buone pratiche. -- ### E la master password? Per le poche passphrase che non possiamo salvare usiamo i seguenti accorgimenti: - mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce) - mai condividere una passphrase (no no no e no) - mai scrivere una passphrase (a parte se sai quello che stai facendo) - usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra per ricordarle. notes: il `4` del primo punto e' un numero a caso. esempio live di scelta passphrase.