Cambiare password, quando farlo

Il 1° febbraio ricorre il “Change Your Password Day“, iniziativa volta a far riflettere gli utenti sull’importanza di rivedere periodicamente le proprie credenziali di accesso.

Quando si parla di password la trattazione ci porta sempre molto lontano. Le password sono da molti considerate noiose, strumenti che fanno perdere tempo e che ostacolano l’utilizzo di prodotti e servizi. E c’è il rischio di dimenticarsele le password così si impostano “parole chiave” deboli contenenti date di compleanno, nomi dei figli, luoghi delle vacanze, nomi di animali domestici o parole che si possono facilmente trovare su un dizionario.

Che le password siano fastidiose è vero ma spesso sono l’unica barriera che si può erigere tra i nostri dati e l’azione di utenti non autorizzati, malintenzionati e veri e propri criminali informatici. È quindi importante sceglierle bene e gestirle altrettanto correttamente. Ma quando è necessario cambiare le password? In questo articolo ci concentriamo proprio su questo aspetto.

devolo, produttore di soluzioni di rete per il trasferimento dati ad elevata velocità in ambito domestico e professionale, ha voluto ricordare quanto sia importante scegliere password complesse per proteggere al meglio i dati personali. “Le password sicure in realtà non devono necessariamente essere composte da 20 caratteri o essere cambiate mensilmente“, si fa presente dall’azienda. “Spesso però, per paura di dimenticare il proprio codice di accesso, vengono scelte parole troppo brevi e facili da indovinare: le ricerche dimostrano che le persone continuano a usare password troppo deboli per proteggere i loro account“.

Il ruolo delle password nella protezione degli account

Il punto è proprio questo: le credenziali di accesso (nome utente e password) rappresentano lo strumento basilare per proteggere l’accesso ai propri dispositivi e account, sia in ambito privato che professionale. Se username e password cadono nelle mani di malintenzionati, questi soggetti possono sottrarre dati personali, crittografare le informazioni altrui per poi chiedere un riscatto in denaro, minacciarne la diffusione online, utilizzarli per accedere ad altri account e sottrarre denaro, avviare attacchi phishing verso la stessa vittima o altri individui e molto altro ancora.

In occasione del World Password Day abbiamo suggerito come creare una password sicura attenendosi a una serie di requisiti minimi in termini di lunghezza e complessità.
Un generatore password sicuro aiuta a creare password resistenti agli attacchi basati sulla forza bruta (brute force) e sul dizionario.

Hashing delle password

Di norma le password memorizzate sui server dei gestori dei vari servizi online dovrebbero essere conservate in forma crittografata: una funzione di hashing non reversibile non permette di leggere in chiaro la password impostata da ogni singolo utente.

Come confermano i dati continuamente aggiornati su Have I been pwned, tuttavia, la realtà è ben diversa: in spregio di ogni prescrizione normativa le password degli utenti vengono talvolta salvate dai gestori in chiaro. Un attacco informatico sferrato nei confronti del gestore può portare alla sottrazione di credenziali d’accesso immediatamente utilizzabili dai “cybercriminali“.

Utilizzo della stessa password su più siti Web

Se l’utente avesse utilizzato la stessa password su più siti, ad esempio per accedere ad account completamente diversi, i suoi dati sarebbero in pericolo. Gli aggressori sono infatti soliti tentare l’accesso con le stesse credenziali rubate su uno o più servizi per verificare se l’utente abbia usato la medesima password altrove.

Per questo devolo osserva che “il punto di partenza per una maggiore sicurezza è quello di utilizzare chiavi d’accesso diverse per ogni account. Questo accorgimento serve per evitare la fuga di dati personali e l’apertura dell’intero caveau digitale dell’utente nel caso in cui la propria password dovesse finire in mani sbagliate“.

Talvolta è anche possibile accorgersi, lato client, di come conservano le password i siti Web e smascherare subito quei gestori che memorizzano le password in chiaro senza alcun tipo di protezione.

Cracking delle password memorizzate come hash

C’è poi il problema del password cracking: password deboli o che vengono memorizzate usando un algoritmo di hashing non sicuro (già SHA-1 non è sicuro, almeno dal 2017) possono essere facilmente recuperate e riportate in chiaro usando appositi software come John The Ripper, Hashcat o altri.
L’utilizzo di una batteria di GPU disponibili sul cloud può velocizzare di diversi ordini di grandezza il cracking delle password più complesse: SANS spiega come fare password cracking con Hashcat e AWS (Amazon Web Services).

Autenticazione a due fattori

Ancora oggi tanti servizi utilizzano la coppia username-password come unico strumento per proteggere i dati degli utenti.
Il vero balzo in avanti in termini di sicurezza si può compiere utilizzando l’autenticazione a due fattori (2FA) che permette di affiancare all’utilizzo delle normali credenziali di accesso anche un’informazione aggiuntiva della quale gli aggressori non possono facilmente impossessarsi.

Di solito l’autenticazione a due fattori, che ad esempio Google chiama verifica in due passaggi, si basa su “una cosa che si conosce” (una password o un PIN), “una cosa che si possiede” (uno smartphone, un’apposita applicazione o un oggetto fisico come un token) oppure “una cosa che contraddistingue univocamente la nostra persona” come l’impronta digitale, l’iride, il timbro vocale e così via (biometria).

Dopo aver digitato nome utente e password corretti, l’utilizzo di un token autorizzativo è una delle soluzioni più sicure per evitare che utenti non autorizzati possano accedere al proprio account.
Il codice OTP generato con un’app di autenticazione, ad esempio installabile su un dispositivo mobile, è un ottimo strumento da usare come “cane da guardia” per la verifica degli accessi ai propri account.

È comunque bene guardarsi da quei servizi che offrono solo la possibilità di impostare gli SMS come secondo fattore. Gli SMS sono lo strumento meno sicuro per l’autenticazione a due fattori: attacchi SIM swap vengono posti in essere proprio con l’intento di sottrarre i codici di conferma inviati sulle numerazioni mobili degli utenti.

Attenzione agli evil proxy che possono consentire il superamento dell’autenticazione a due fattori

Sebbene l’autenticazione a due fattori offra certamente ottime garanzie per la protezione degli account da accessi non autorizzati, non può e non deve essere considerata come una “soluzione definitiva”.

I criminali informatici si stanno prodigando nel promuovere attacchi phishing basati su evil proxy: significa che creano applicazioni Web che si frappongono tra il servizio remoto e il client dell’utente. Come fa un sistema proxy, le richieste di superamento dell’autenticazione a due fattori vengono elaborate quindi girate al client. Non appena l’utente inserisce i dati richiesti le informazioni vengono intercettate e inoltrate al servizio remoto.

L’evil proxy può così acquisire il cookie di sessione che consente ai criminali informatici di rubare l’identità dell’utente e compiere operazioni non autorizzate ponendo in essere anche veri e propri furti d’identità.
I cookie di sessione contengono anche il token di autenticazione e possono essere utilizzati per sferrare attacchi articolati. Ne abbiamo parlato anche nell’articolo in cui vediamo perché un account Facebook invia messaggi spam ma le considerazioni hanno valenza generale.

Password manager e memorizzazione sicura delle credenziali d’accesso

Anche l’applicazione di procedure corrette per la gestione delle credenziali di accesso riveste un ruolo essenziale.

Sappiamo che i password manager dei browser non sono sicuri: è davvero molto semplice trovare le password salvate ed estrarle da un sistema di cui si abbia la disponibilità fisica.

Ci sono i password manager online ma anche qui la scelta dovrebbe essere effettuata in modo oculato: Wladimir Palant ha evidenziato come la generazione delle chiavi su alcune piattaforme potrebbe non essere sicura puntando il dito sul numero di iterazioni utilizzate per generare le chiavi derivate dalla master password.

Esistono password manager come Bitwarden da installare in locale, anche in ambito aziendale, o prodotti come Psono per memorizzare le password e condividerle tra collaboratori.

In un altro articolo abbiamo visto come salvare username e password in sicurezza e sincronizzare i dati tra più dispositivi con KeePassXC e KeePassDX.

Va tenuto presente, in ogni caso, che eventuali malware in esecuzione sul sistema potrebbero sottrarre gli archivi delle password, anche in forma decodificata. Si prenda ad esempio KeePass, capostipite di un’intera generazione di password manager open source: è vero che i suoi archivi sono crittografati ma con una semplice “gabola” è possibile indurre KeePass a esportare le password in chiaro.
Questo tipo di operazione può farla solo l’utente o un componente malevolo in esecuzione sul dispositivo in uso.

La nuova frontiera per un mondo senza password: Passkey

Vari player stanno sempre più volgendo lo sguardo verso un mondo senza password: sono state dapprima introdotte le chiavette FIDO2 e adesso si guarda al sistema Passkey.

Con le Passkey il dispositivo mobile si conferma sempre più lo strumento principe per autorizzare un accesso: all’atto del login basta confermare sul device l’impronta digitale, effettuare il riconoscimento facciale o inserire il PIN corretto, esattamente come si fa oggi con l’autenticazione a due fattori o a più fattori (MFA). L’accesso viene però in questo caso sbloccato senza digitare alcuna password.

Le Passkey sbloccano l’accesso utilizzando una coppia di chiavi crittografiche (crittografia asimmetrica o a chiave pubblica) a loro volta collegate direttamente con l’account utente.
Il sito o l’applicazione Web possono visualizzare e archiviare la chiave pubblica di ciascun utente mentre la corrispondente chiave privata resta segreta e conservata in sicurezza nel singolo dispositivo.

Google ha iniziato a supportare le Passkey e il noto password manager 1Password fa già provare le Passkey come nuovo sistema di autenticazione al password manager.

Quando cambiare la password

Alcuni esperti di sicurezza consigliano di cambiare la password ogni tre mesi ma come abbiamo accennato in apertura, sempre che la password sia stata scelta con attenzione (è lunga e complessa; non è utilizzata su altri servizi; non è vulnerabile ad attacchi basati sul dizionario), una password potrebbe anche non essere mai cambiata!

Prendendo in esame tutti i vari casi che abbiamo presentato nel nostro articolo, quindi, è opportuno cambiare password in alcune situazioni specifiche:

– Se si realizza di usare la stessa password su più account, anche di fornitori diversi.

– Se si riconosce di utilizzare password “deboli” con parole derivate da un dizionario, contenenti informazioni personali o altri dati che possono essere “indovinati” da terzi.

– Se il proprio indirizzo email o numero di telefono apparisse su Have I been pwned in seguito a uno o più attacchi informatici.
Il servizio Pwned Passwords, dello stesso autore, permette di verificare se una o più delle proprie password siano in mano ai criminali informatici.
Usando un po’ d’ingegno è addirittura possibile scaricare gli hash delle password presenti nel database di Have I been pwned ed effettuare ricerche in locale senza trasferire alcun dato in rete. Lo spieghiamo nell’articolo su come verificare le password violate o insicure.

– Se la funzione Controlla password integrata in Google Chrome indica che una o più credenziali sono insicure. Ne parliamo anche nell’articolo dedicato alle password salvate Google.

– A seguito di una violazione della sicurezza o di un accesso non autorizzato (anche se vi fosse un semplice sospetto).

– Se si fosse condiviso erroneamente la password con un soggetto terzo.

– Dopo aver utilizzato la stessa password per molto tempo senza servirsi di un sistema di autenticazione a due fattori.

– Se si fosse condivisa la password della WiFi con altri utenti: le reti guest, sempre se configurate in modo sicuro, evitano di esporre i dispositivi collegati alla LAN.