cisti/facciamo
1
2
Fork 4
forked from d0c/autodifesa-digitale-parte-1
Code Issues Pull requests Releases Activity
facciamo/slides/password.md
les 05860ef564 pdf
2019-11-20 01:09:45 +01:00

4.3 KiB
Raw Blame History



Password

-- Cominciamo dalle cose semplici.

Le password sono la prima barriera di accesso a dati che vogliamo tenere per noi.

Le usiamo leggere la posta, per ritirare al bancomat (pin), per accedere al computer, al telefono e ai mille servizi digitali a cui ci siamo iscritti/e.

--

Ma... Non siamo bravi a scegliere delle buone password

  • E' la password di gmail? ➜ ci mettiamo gmail in mezzo
  • Usiamo concetti ricordabili ➜ date di nascita, nomi di amic*/compagn*
  • Riusiamo la stessa password in molti posti.


In pratica scegliamo password facilmente indovinabili.

--

--

Spinti a migliorare le nostre password

img/passhint.png

--

scegliamo le soluzioni piu' semplici e prevedibili

  • e' la password di facebook ➜ facebookpassword
  • inserisci almeno una maiuscola ➜ Facebookpassword
  • inserisci almeno un numero ➜ Facebookpassword1
  • inserisci almeno un simbolo ➜ Facebookpassword1!

notes: Sono tutti schemi facilmente immaginabili e prevedibili.

--

o se siamo proprio fortissimi/e

img/commonkeyboardpatterns.gif img/commonkeyboardpatterns.gif

--

Ma soprattutto..

Usiamo la stessa password per più siti/servizi

scimmia notes: chiedere perche' e' un problema....

--

Orrore!

i dipendenti di ogni servizio hanno

accesso ad ogni altro servizio! (si, anche se dal backend non viene salvato in chiaro).

quando (non se) uno dei servizi viene

bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno si e l'altro pure).

E' talmente diffusa la cosa che mozilla

ha un servizio per fare un check ➜ monitor.firefox.com

notes: ad esempio la mail del rettore.

Leak

Negli ultimi anni sono stati bucati tanti servizi e milioni di password sono diventate pubbliche (leak) permettendo di farci ricerca sopra e si, le password piu' usate sono 123456 e password, gli schemi usati sono drammaticamente ricorrenti e la maggior parte delle persone riusa le password in piu' servizi.

Una lista di servizi la cui compromissione è pubblica è qui.

--

Password Cracking

Esistono programmi e servizi che tentano ripetutamente password basandosi sulla nostra prevedibilità e si basano comunemente su dizionari a cui vengono applicate delle regole (permutazioni, aggiunte di prefissi/suffissi, cambio di caratteri comuni, maiuscole/minuscole).

Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc prendendo tutto il materiale digitale del target.

HashCat, for instance, can take 300,000 guesses at your password a second

--

E quindi?

Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo.

--

Password manager

Usiamo i password manager.

Sono dei programmi che generano e si ricordano delle password sicure, in cambio di una sola master password (passphrase).

notes: spiegare master password, che e' possibile fare piu' liste di password, suggerire buone pratiche. fatevi un backup delle password

--

E la master password? Per le poche passphrase che non possiamo salvare

usiamo i seguenti accorgimenti:

  • mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce)
  • mai condividere una passphrase (no no no e no)
  • mai scrivere una passphrase (a parte se sai quello che stai facendo)
  • usa 4/5 parole a caso (veramente a caso) e costruiscici una storia sopra per ricordarle.

notes: il 4 del primo punto e' un numero a caso. esempio live di scelta passphrase.