autodifesa-digitale/slides/password.md
2018-09-25 22:57:11 +02:00

3.3 KiB



Password

-- Le password sono la prima barriera di accesso a dati che vogliamo tenere per noi.

Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare nel computer e nei mille servizi digitali a cui accediamo.

Ma...

Non siamo bravi a scegliere delle buone password

  • E' la password di gmail? ➜ ci mettiamo gmail in mezzo
  • Usiamo concetti ricordabili ➜ date di nascita, nomi di amic*/compagn*
  • Riusiamo la stessa password in molti posti.

In pratica scegliamo password facilmente indovinabili.

-- Spinti a migliorare le nostre password

img/passhint.png

scegliamo le soluzioni piu' semplici e prevedibili

  • e' la password di facebook ➜ **facebookpassword**
  • inserisci almeno una maiuscola ➜ **Facebookpassword**
  • inserisci almeno un numero ➜ **Facebookpassword1**
  • inserisci almeno un simbolo ➜ **Facebookpassword1!**

notes: Sono tutti schemi facilmente immaginabili.

Come lo sappiamo?

Negli ultimi anni sono stati bucati tanti servizi e milioni di password sono diventate pubbliche (leak) permettendo di farci ricerca sopra e si, le password piu' usate sono 123456 e password, gli schemi usati sono drammaticamente ricorrenti.

Password Cracking

Esistono programmi e servizi che tentano ripetutamente password basandosi sulla nostra prevedibilità e si basano comunemente su dizionari a cui vengono applicate delle regole (permutazioni, aggiunte di prefissi/suffissi, cambio di caratteri comuni, maiuscole/minuscole).

Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il material digitale del target. notes: Mostrare un piccolo esempio di hashcat (da preparare)

E quindi?

Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo.

Password manager

Usiamo dei programmi che generano le nostre password per noi, tipo KeepPassXC (support your local software).

Si ricordano delle password sicure per noi, in cambio di una sola master password (passphrase). notes: spiegare master password, che e' possibile fare piu' liste di password, suggerire buone pratiche.

E la master password?

Per le poche passphrase che non possiamo salvare usiamo i seguenti accorgimenti:

  • mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce)
  • mai condividere una passphrase (no no no e no)
  • mai scrivere una passphrase (a parte se sai quello che stai facendo)
  • usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra per ricordarle.

notes: il 4 del primo punto e' un numero a caso. esempio live di scelta passphrase.