Vai al contenuto

2

...ed ecco che Windows ci avvisa che la password sta per scadere !
Occorre trovare in fretta una nuova password per sostituire quella che scade.
Ma non una password qualsiasi: una password "robusta", ovvero:

  • lunga almeno 8 caratteri;
  • diversa dallo User-ID;
  • differente dalle password precedenti;
  • che contiene lettere maiuscole e minuscole;
  • che contiene numeri e caratteri speciali.

Ma perchè le password "scadono" ?
E' realmente vero che cambiare le password con una certa frequenza è una misura di sicurezza ?
Secondo la mia esperienza NO, e vi spiego perchè...

Perchè il nostro cervello, applicando istintivamente il principio del minimo sforzo,
ci porterà a scegliere password di questo tipo:
«Fuffi-0818»   [Nome-del-gatto]-[mese][anno]
---   
in modo che, alla prossima richiesta di cambio password, basterà cambiare la cifra del mese e/o dell'anno e siamo a posto.
Inoltre basterà ricordarsi solo la prima parte della password (il nome del gatto) in quanto la seconda parte può essere rapidamente dedotta o - al peggio - se non ci ricordiamo in che mese abbiamo modificato la password, basta fare qualche tentativo per trovare il resto...
Bene ! Abbiamo creato una password facile da ricordare, che soddisfa tutti i requisiti di complessità richiesti e che inoltre è anche facile da modificare quando sarà nuovamente richiesto.
...ma questa possiamo definirla una password "robusta" ? NO !

Le password che scadono sono password "deboli"

Ma "deboli" o "robuste" rispetto a che ? Cosa minaccia la sicurezza delle password ?
Sappiamo che la principale tecnica di attacco automatica alle password è il cosiddetto "attacco di forza bruta", dove uno o più computer tentano tutte le possibili combinazioni di caratteri di cui può essere composta la nostra password.

Più una password è "complessa" più è "robusta".

...e come si può fare per creare password "complesse", ma che siano al contempo anche "facili da ricordare" ?
Gli esperti ci hanno insegnato alcuni trucchi, come ad esempio:
- sostituire alcune lettere con dei numeri (O=∅, L=1, E=3, A=4, S=$, T=7)
- usare qualche lettera maiuscola al posto della minuscola
- inserire qualche segno di interpunzione
Ma servono veramente ?
In parte sì, ma di certo non rendono la password facile da ricordare.
Si rischia così di creare password che le persone fanno fatica a ricordare ma che un computer (che non fa distinzione tra i simboli utilizzati) troverebbe comunque piuttosto semplici da indovinare:

Meglio invece adottare un metodo più semplice: scegliere alcune parole comuni e concatenarle assieme:

Anche gli esperti che a suo tempo ci hanno insegnato come creare password "robuste" sono ormai convinti che questo sia l'approccio giusto:

Una password complessa può essere facile da ricordare.
Può essere composta anche da frasi di senso comune (spazi inclusi) che sono facili da ricordare, ma deve avere un "livello di entropia" sufficientemente elevato in modo da impedire ad un computer di indovinarle per tentativi (per misurare il livello di entropia delle password è possibile usare questo programma in javascript).

Una password complessa deve essere cambiata periodicamente ?
No. La password scelta dovrebbe essere cambiata solo quando si ha il sospetto che possa essere stata rubata o violata.
Perchè cambiare la serratura di casa se non abbiamo perso le chiavi e non ci sono stati tentativi di scasso ?
Inoltre sappiamo bene che la richiesta di cambiare una password che funziona mette in moto il principio del minimo sforzo, con le conseguenze del caso...

Però...
la Legge sulla Privacy, promulgata nel 2003, prevede delle misure di sicurezza minime (obbligatorie) per le password utilizzate per accedere a dati personali:

Non ci resta che sperare nel GDPR...
Il nuovo Regolamento Europeo sulla Privacy (operativamente in vigore dal 25 Maggio 2018) non contiene alcuna prescrizione specifica circa la necessità di modificare periodicamente le password di accesso, ma lascia al Titolare il compito di individuare le misure di sicurezza adeguate a far fronte ai rischi connessi alla loro possibile violazione:

Personalmente ritengo che obbligare gli utenti a modificare periodicamente le loro password sia una scelta sbagliata e che invece sia meglio puntare su una password "complessa" da modificare solo nel caso in cui si sospetti che sia stata violata.
Solo così si può evitare l'innesco del principio del minimo sforzo e la conseguente proliferazione di password "deboli".

Buona password a tutti !
Cordialmente vostro,
Autostoppista Cyber Galattico.

La recente pubblicazione da parte dell'IETF di questo memo (Oops, we did it again) in considerazione del fatto che Internet e i Social Media vengono oggi sempre più utilizzati a danno della collettività (disinformazione, diffamazione, incitamento all'odio, ecc.) invece che a beneficio di una maggiore condivisione della conoscenza, mi ha fatto tornare alla mente un film di fantascienza della mia infanzia...

Un’astronave terrestre inviata alla ricerca dei sopravvissuti di una spedizione spaziale giunge sul pianeta Altair 4 trovandovi solo due superstiti: lo studioso filologo Edward Morbius e la figlia Alta, nata su quel pianeta.

Le ricerche svolte dal dottor Morbius svelano che in tempi remoti il pianeta era abitato da una razza aliena nobile e potente chiamata Krell che fu annientata nel giro di una sola notte da una misteriosa entità assassina invisibile.

I Krell, eticamente e tecnicamente più progrediti degli esseri umani, pare avessero realizzato una "Grande Macchina" che Morbius ritiene faccia parte di un progetto grandioso che avrebbe liberato gli alieni dalla dipendenza da ogni mezzo fisico.

La “Grande Macchina della creazione” costruita dai Krell si rivela uno strumento tecnologico potentissimo in grado di creare, con l’enorme energia a sua disposizione, materia di qualsiasi natura e forma con il solo controllo del pensiero.

Purtroppo il controllo di questa macchina venne assunto non solo dalla mente cosciente dei Krell, ma anche dal loro ancestrale subconscio, che utilizzò gli enormi poteri della macchina per materializzare le loro peggiori pulsioni inconsce (“i mostri dell’ID”) annientandoli in una sola notte di incubi.

Gli strumenti formidabili di cui disponiamo oggi, che ci consentono di scambiare in tempo reale informazioni, dati, notizie, filmati non saranno certo così potenti come la "Macchina della creazione" realizzata dai Krell, ma di certo spesso sono usati in modi che fanno supporre che dall'altro lato della tastiera (no, non riusciamo ancora ad usare Internet col pensiero...) ogni tanto ci sia qualche piccolo "mostro dell'ID" celato nel subconscio di qualcuno...

Cordialmente vostro
Autostoppista Cyber Galattico

Alcuni ricordi che risalgono ai primi kilometri che ho percorso

Questo è il primo Computer su cui ho "messo le mani":
Il Control Data Corporation - Cyber-76 presso il CINECA.
 CDC Cyber-76

E questa era la mia interfaccia con tale magnificenza - le schede perforate !

Poi sono passato al Digital VAX11/780 a cui avevo accesso tramite terminale VT100

Dopo una breve parentesi sul PDP-11 (sempre della Digital Equipment Corporation)

 DEC PDP-11

...eccomi a lavorare in COBOL sul "mini-computer" (lo chiamavano così)
Honeywell DPS-6
Notate l'unità a nastro, l'unità Floppy 8 pollici, il disco removibile Winchester che andava "spadellato" dentro lo sportello in basso e la console esadecimale in cui per avviare il BOOT si doveva digitare una sequenza "magica" di istruzioni.
Me la ricordo ancora:
STOP - CLEAR - LOAD - READY - EXECUTE
STOP - SELECT - "D1" - STOP - READY - EXECUTE
semplice vero ?

 Honeywell DPS-6

Ma ho lavorato anche sul suo fratellino minore: il Microsystem 6/20

 Honeywell Microsystem 6/20

Poi è venuto per me il tempo dei "micro-computer":

L'Apple 2: ci lavoravo in UCSD Pascal che era sia un Sistema Operativo che una implementazione del linguaggio Pascal messi a punto dall'Università di San Diego

 Apple 2

Lo Hewlett Packard HP-85: ci lavoravo in BASIC. Era un computer "all-in-one" che aveva tastiera e video (piccolissimo) integrati ed aveva addirittura una unità nastro a cassette ed una stampante termica grafica.

 Hewlett Packard HP-85

Olivetti M20: ci avevo montato su una versione dell'UCSD Pascal. Aveva già allora un Processore a 16 bit (Zilog Z-8000) che condivideva con tutti gli altri successivi modelli della "Linea 1" di Olivetti (M30, M40, M60). L'idea di Olivetti era una linea omogenea di macchine: dal Personal Computer al Main Frame, tutti con lo stesso microprocessore e lo stesso Sistema Operativo (che bello eh ?).

  Olivetti M20

Olivetti M30, M40, M60: Sistema Operativo MOS (sviluppato da Olivetti)

Poi è uscito il PC IBM, ma io preferivo l'Olivetti M-24 anche perchè aveva come microprocessore la CPU Intel 8086 (a 16 bit) e non l'8080 (a 8 bit).
La confezione includeva un Manuale Utente ed un Manuale Tecnico che riportava i listati del BIOS in Assembler !

 Olivetti M-24 - MS-DOS

IBM Personal System 2 con CPU Intel 286. Ci lavoravo in "C"

..ed utilizzavo una delle prime Reti Locali: IBM Token Ring
La rete Token Ring era costituita da un "anello" in cui giravano i pacchetti.
I pacchetti contenevano un TOKEN che indicava il mittente ed il destinatario.
Il pacchetto, una volta messo "in circolo" nell'anello dal mittente veniva ricevuto dal destinatario che così liberava il TOKEN per una successiva trasmissione.
Le connessioni venivano effettuate tramite una sorta di SWITCH: la Multi-Station Access Unit.
Quando il PC inizializzava la scheda di rete si sentiva il "click" del relè all'interno della MAU che "apriva l'anello" ( ! ).

 La rete Token Ring

 Multi-Station Access Unit (MAU)

Nel romanzo di fantascienza di D.Adams "Guida galattica per autostoppisti",
Pensiero Profondo è «il secondo più grande computer dell'Universo del Tempo e dello Spazio».

Fu costruito da una razza di esseri superintelligenti e pandimensionali per trovare «la risposta alla domanda fondamentale sulla vita, l'universo e tutto quanto».
Dopo sette milioni e mezzo di anni di elaborazioni, Pensiero Profondo fornisce la Risposta alla Domanda fondamentale, che risulta essere 42.
Rimane però il problema di sapere quale sia la Domanda di cui la risposta è 42.
Si dovette allora costruire un nuovo computer per fornire la Domanda alla Risposta Fondamentale sulla Vita, l'Universo e Tutto Quanto.
Questo nuovo computer ancora più grande e potente di Pensiero Profondo fu chiamato «Terra», pianeta popolato da strani indigeni simili a scimmie, che verrà poi demolito dagli alieni Vogon per far posto ad una nuova superstrada iperspaziale, dopo 10 milioni di anni di calcoli, cinque minuti prima che la Domanda venisse rivelata.

Ecco da dove viene il nome di questo BLOG dedicato alle mie riflessioni sull'ICT, Internet, la Cyber Security e tutto il resto.

Ci saranno tante domande e tante risposte, ma nessuna di queste sarà «42».
Promesso.

Cordialmente vostro,
Autostoppista Cyber Galattico.