facciamo/slides/password.md

<!-- .slide:
data-background="https://ak7.picdn.net/shutterstock/videos/25863227/thumb/5.jpg"
--> <br/><br/>

# Password

--

Le password sono la prima barriera di accesso a dati che vogliamo tenere
per noi.


Le usiamo leggere la posta, per ritirare al bancomat (pin), per entrare nel
computer e nei mille servizi digitali a cui accediamo.

--

### Ma...  Non siamo bravi a scegliere delle buone password

  - <!-- .element: class="fragment" --> E' la password di gmail?  <span>➜
    ci mettiamo `gmail` <!-- .element: class="red" --> in mezzo</span> <!--
    .element: class="fragment" -->
  - <!-- .element: class="fragment" --> Usiamo concetti ricordabili <span>➜
    date di nascita, nomi di amic\*/compagn\*</span> <!-- .element: class="fragment" -->
  - <!-- .element: class="fragment" --> Riusiamo la stessa password in
    molti posti.

<br/> In pratica scegliamo password facilmente indovinabili.  <!--
.element: class="fragment" -->

--

Spinti a migliorare le nostre password

![img/passhint.png](./img/password-requisiti.png)

--

scegliamo le soluzioni piu' semplici e prevedibili
- <!-- .element: class="fragment" --> e' la password di facebook ➜
  **facebookpassword**
- <!-- .element: class="fragment" --> inserisci almeno una maiuscola ➜
  **Facebookpassword**
- <!-- .element: class="fragment" --> inserisci almeno un numero ➜
  **Facebookpassword1**
- <!-- .element: class="fragment" --> inserisci almeno un simbolo ➜
  **Facebookpassword1!**

notes: Sono tutti schemi facilmente immaginabili.

--

### Ma soprattutto..

Usiamo la stessa password per più siti/servizi

![scimmia](./img/scimmia.jpg) <!-- .element: class="fragment" --> notes:
chiedere perche' e' un problema....

--

### Orrore!

<!-- .element: class="fragment" --> i dipendenti di ogni servizio hanno
accesso ad ogni altro servizio!

<!-- .element: class="fragment" --> quando (non se) uno dei servizi viene
bucato, gente a caso ha accesso ad ogni vostro servizio (succede un giorno
si e l'altro pure).

<!-- .element: class="fragment" --> E' talmente diffusa la cosa che mozilla
ha un servizio per fare un check ➜
[monitor.firefox.com](https://monitor.firefox.com)

--

### Leak

Negli ultimi anni sono stati bucati tanti servizi e milioni di password
sono diventate pubbliche (leak) permettendo di farci ricerca sopra e si, le
password piu' usate sono `123456` e `password`, gli schemi usati sono
drammaticamente ricorrenti e la maggior parte delle persone riusa le
password in piu' servizi.

Una lista di servizi la cui compromissione è pubblica è
[qui](https://haveibeenpwned.com/PwnedWebsites).  Un posto dove poter
studiare le statistiche

--

### Password Cracking

Esistono programmi e servizi che tentano ripetutamente password basandosi
sulla nostra prevedibilità e si basano comunemente su dizionari a cui
vengono applicate delle regole (permutazioni, aggiunte di
prefissi/suffissi, cambio di caratteri comuni, maiuscole/minuscole).

Considerate che i file dizionario in attacchi mirati vengono creati ad-hoc
prendendo tutto il material digitale del target.  notes: Mostrare un
piccolo esempio di `hashcat` (da preparare)

--

### E quindi?

Se non siamo capaci a fare qualcosa, cerchiamo qualcuno in grado di farlo.

--

### Password manager

Usiamo i password manager.

Sono dei programmi che generano e si ricordano delle password sicure, in
cambio di una sola master password (passphrase).

notes: spiegare master password, che e' possibile fare piu' liste di
password, suggerire buone pratiche.

--

### E la master password?  Per le poche passphrase che non possiamo salvare
usiamo i seguenti accorgimenti:

- mai riusare una passphrase (dai te ne devi ricordare massimo 4, stacce)
- mai condividere una passphrase (no no no e no)
- mai scrivere una passphrase (a parte se sai quello che stai facendo)
- usa 4 parole a caso (veramente a caso) e costruiscici una storia sopra
  per ricordarle.

notes: il `4` del primo punto e' un numero a caso.  esempio live di scelta
passphrase.