Le
password di Windows:
Recentemente sono stato chiamato
da un'amica per cercare di risolvere un problema che, temo, succeda
a molti: la perdita (o meglio la dimenticanza) della password di
amministratore di una macchina Windows XP.
Se doveste chiedere a Microsoft come risolvere il
problema, vi diranno che dovete reinstallare tutto, cosa decisamente
improponibile in molti casi, l'alternativa e'... conoscere un amico
che con pochi abili interventi vi recupera la password dimenticata.
Ma allora, direte voi, e' cosi' facile ricostruire le password da
sistemi Windows? Visto che il risultato e' replicabile abbastanza
facilmente, verrebbe da dire di si, ma approfondendo la questione
si scopre che comunque non e' cosi' banale in quanto le password
sono crittografate all'interno di un file normalmente inaccessibile,
a sua volta crittografato.
Il "come si fa" non ve lo racconto, del resto tutte le
informazioni sono in rete, ma tutto questo e' per dire che, malgrado
difese a prima vista molto elaborate ed in teoria efficaci, si possono
ricostruire dati crittografati con relativa facilita'.
Quanto sia facile recuperare le password dipende
principalmente dalla password stessa, in generale molti di noi tendono
ad utilizzare qualcosa di mnemonico: nome moglie/marito/figli/amanti,
oppure date di nascita, numeri telefonici ecc, o comunque parole
comuni.
La stessa FBI nei giorni scorsi, dopo un riuscito attacco di un
hacker che ha letto la posta elettronica dell'agenzia, ha dovuto
diramare una circolare interna in cui si consiglia di essere molto
cauti nella scelta delle password, evitando riferimenti facili come
quelli di cui sopra.
Infatti per molti software e' un gioco da ragazzi scoprire password
cosi' semplici, e quindi bisogna ricorrere ad altre soluzioni, per
esempio:
la sostituzione di lettere con numeri (tipico l'uso del cambio di
vocale, quindi "AIUOLA" diventa "4180L4");
l'uso delle iniziali di una frase comprendendo anche i punti di
interpunzione ("Tanto va la Gatta al lardo, che ci lascia lo
zampino!", cioe' "TvlGal,ccllz!");
usare parole facilmente memorizzabili non ricoducibili alla persona,
e mescolate da numeri, segni di interpunzione, maiuscole e minuscole
(Es. "nElmezz0*dEl?caMMin").
Esistono poi generatori automatici di password (se
fate una ricerca con Google ne trovate a bizzeffe), che normalmente
restituiscono qualcosa del tipo: c3e09a79da , cioe' "cose"
che qualunque essere umano non riuscirebbe a memorizzare se non
con grandi sforzi.
Qualcuno ha poi inventato i generatori di password pronunciabili:
in pratica generano parole inesistenti ma facilmente memorizzabili;
siccome pero' sono fatti negli USA ... per noi risultano ben poco
pronunciabili, anche se il risultato e' comunque migliore (es.:
ardheard, forecuor, gnitriec).
Non dimenticate inoltre di usare password diverse per ogni servizio
che utilizzate, per esempio: quanti di voi sanno che quando si accede
alla propria casella di posta la password relativa passa "in
chiaro" lungo la rete?
Ho fatto questa lunga dissertazione sulle password
per evidenziare le problematiche legate al "fattore umano",
che spesso e' il punto debole di qualsiasi sistema di sicurezza,
si calcola che l'85% degli atti di pirateria e dei danni informatici
sia dovuto a debolezze su questo lato.
Il "fattore umano" non riguarda comunque solo le password,
vi faccio un esempio che non e' tanto lontano da quanto probabilmente
e' accaduto veramente (ma che nessuno ammettera' mai che sia veramente
accaduto).
Immaginate un Centro Elaborazione Dati di una grossa
azienda, con informazioni riservate accessibili solo da personale
autorizzato. Come in tutti gli uffici esiste un servizio di pulizia
dei locali che tipicamente viene appaltato a societa' esterne attraverso
il meccanismo delle gare, dove vince chi fa la proposta economicamente
piu' conveniente.
Per fare le pulizie gli addetti, ovviamente, devono poter accedere
al CED, ma se tra questi ci fosse qualche malintenzionato? Passa
oggi, passa domani, prima o poi qualcuno dimentica un terminale
"aperto" e il gioco e' fatto, senza bisogno di tante password!
E se pensate che la societa' che si occupa delle pulizie (e che
deve ovviamente risparmiare sui costi) faccia indagini approfondite
sulle persone impiegate ... siete degli ingenui!
Ritornando al proprio PC, la regola sopra esposta si applica piu'
o meno allo stesso modo: mai lasciare incustodito il proprio PC
acceso, mai lasciare bigliettini con le password in giro, avere
una password di accesso al sistema definita secondo le regole descritte
sopra e, per i piu' "paranoici" (in questo caso non vuole
essere un termine dispregiativo, anzi!): crittografare i files piu'
delicati o metterli su un supporto (CD, chiave USB, disco rimovibile)
che viene usato solo quando serve, solo su una macchina "sicura"
e riposto in luogo "sicuro".
|
