Come padroneggiare l'arte delle password

Le password sono uno stile di vita per quasi tutti coloro che utilizzano qualsiasi tipo di software. Nessuna alternativa praticabile è imminente: i lettori di impronte digitali, gli scanner retina, l'identificazione vocale e i token USB hanno tutti dei limiti. Niente è così semplice e poco costoso come una stringa di tasti vecchio stile.

I servizi Web e i gestori di rete richiedono quasi sempre un livello minimo di difficoltà di password per evitare che le tecniche standard di cracking delle password possano indovinarle rapidamente. Siamo inoltre avvertiti di non riutilizzare le stesse passphrase su siti diversi e vengono regolarmente bloccati dal riciclaggio delle password che abbiamo utilizzato in precedenza.

Considerando il numero di volte che gli utenti di PC effettuano l'accesso a un servizio o una rete ogni giorno, potrebbe essere necessario ricordare una mezza dozzina di password difficili da indovinare, per non parlare dei vari ID di accesso che utilizziamo insieme alle password (nome completo o il primo nome-cognome? Case sensitive? Un indirizzo e-mail?). Molti professionisti del computer hanno bisogno di accedere a dozzine di sistemi sicuri, che estendono i limiti della memoria di chiunque.

Le tre opzioni disponibili sono l'uso di un programma di gestione delle password, per scrivere le password su carta (o registrarle in un file di testo crittografato) o per definire un metodo per memorizzare passphrase difficili da indovinare. Mentre nessuna singola tecnica è giusta per tutti, ecco perché suggerisco l'approccio alla memorizzazione.

I pro e i contro dei gestori di password

Per molte persone, il modo migliore per proteggere i propri dati e identità è utilizzare un gestore di password, che memorizza le password nel cloud o su un'unità locale, spesso una chiavetta USB o un altro dispositivo di archiviazione portatile. Il rischio evidente è che il server del fornitore è compromesso o si perde l'unità che memorizza le password.

Lo scorso maggio, il servizio di gestione delle password di LastPass ha segnalato una violazione che potrebbe aver esposto le password degli utenti, sebbene il CEO di LastPass, Joe Siegrist, abbia dichiarato che le persone che hanno utilizzato password complesse non sono state minacciate.

Storie correlate

  • La sicurezza non deve essere complicata
  • Mantieni i tuoi dati al sicuro seguendo i Comandi della password
  • Le password sono la nostra migliore opzione di sicurezza?

LastPass è disponibile come componente aggiuntivo per Firefox e come estensione per Internet Explorer, Chrome e altri browser. La versione per dispositivi mobili costa $ 1 al mese.

Altri gestori di password funzionano senza memorizzare le password su un server Web. Il sito di Tech Support Alert ha recentemente confrontato diversi programmi di gestione delle password gratuiti, tra cui LastPass, RoboForm e KeePass.

L'approccio cartaceo alla gestione delle password

Se si rinuncia al percorso password-manager, le opzioni disponibili sono di scrivere le passphrase o memorizzarle. Ogni volta che registri le tue password su carta, anche se registri solo un mnemonico che ti ricorda i personaggi reali, hai reso i tuoi account un po 'più suscettibili agli accessi non autorizzati.

Ciò non ha impedito agli esperti di computer di raccomandare agli utenti di annotare le loro password e di tenere il giornale in un luogo sicuro. Gunter Ollman, un ricercatore della ditta di sicurezza Damballa, conclude che registrare le password su carta è il minore dei vari mali delle password; più rischioso è usare la stessa password su più siti, impostando il software per ricordare le password, non riuscendo a cambiare le password frequentemente, usando una password facile da indovinare e riutilizzando le password passate.

Allo stesso modo, l'esperto di computer Bruce Schneier ha ribadito sul suo blog Schneier sulla sicurezza il consiglio dell'esecutivo di Microsoft Jesper Johansson di registrare le password su carta per incoraggiare l'uso di password complesse.

L'ovvio lato negativo dell'approccio cartaceo è che qualcuno troverà la carta attaccata alla base della tastiera o infilata nel portafoglio e accederà ai dati personali prima di poter prendere misure preventive. Oppure potresti semplicemente perdere la carta e dover eseguire il recupero-password per e-mail in due passaggi per ogni rete e servizio a cui devi accedere.

L'approccio wetware all'archiviazione delle password è ancora il più sicuro

Come avrai intuito, il post del 2005 del signor Schneier che ti raccomandava di scrivere le tue password generava parecchi commenti contrari. La maggior parte dei commentatori ha suggerito la propria tecnica per ricordare password complesse.

Ovviamente, i cattivi prestano molta attenzione a queste informazioni e tenteranno di incorporare gli approcci nei loro sforzi di cracking delle password. La chiave è essere creativi nel modificare qualcosa che hai già memorizzato, come i testi delle canzoni, i nomi dei membri della famiglia o i nomi dei luoghi del tuo passato.

Un metodo alternativo sfrutta qualcosa nelle vicinanze. Ad esempio, potrebbe esserci un prodotto vicino alla tua workstation che ha un modello o un numero di serie prominente, oppure un libro in vista del tuo posto ha un numero ISBN sul retro. Piuttosto che usare il numero esatto, aggiungi o sottrai due o tre numeri o lettere, quindi "1158748562" diventa "3370960784" o "BCGA1339" diventa "DEIC3551".

L'unico problema che ho riscontrato con la mia password-creazione mnemonica è che alcuni venditori richiedono un mix di lettere maiuscole e minuscole e numeri. Sono diventato rassegnato a dover passare attraverso "Hai dimenticato la password?" Di Apple? routine di posta elettronica circa ogni due settimane.

Questo è doppiamente sconvolgente perché il mio sistema utilizza da 12 a 16 caratteri alfabetici casuali (che non si trovano in nessun dizionario e non seguono pattern riconoscibili). Come indica il sito How Secure Is My Password, la password tutto-minuscolo e minuscola che ho ideato avrebbe richiesto molto più sforzo per craccare di una password di otto caratteri che soddisfi i requisiti di Apple.

Tuttavia, fornisco puntelli ad Apple e ad altri siti che applicano rigorose policy per la creazione di password, nonché ai gestori di rete che fanno lo stesso. Gli sforzi sono in corso per affrontare l'enigma della password forte. Come ha spiegato il collaboratore di CNET Lance Whitney la scorsa settimana, Microsoft sta lavorando per migliorare le funzionalità di gestione delle password di Windows 8 e Internet Explorer 10.

Solo il tempo dirà se gli utenti PC potranno mai memorizzare in modo sicuro le proprie credenziali di accesso nel proprio software di sistema o sul server Web di un servizio. Per la maggior parte delle persone, l'approccio più sicuro alle password è affidarsi esclusivamente alla propria materia grigia personale. Speriamo che una sicura alternativa alle password arrivi prima che i nostri ricordi si diffondano.

 

Lascia Il Tuo Commento