Nei film capita spesso di vedere hacker che in pochi minuti accedono a qualunque sistema compromettendo gli account degli utenti o degli amministratori. La finzione cinematografica fa apparire tutto più semplice di quanto non sia nella realtà, ma di certo la gestione delle credenziali è un elemento critico e spesso sottovalutato dalle organizzazioni.
Recenti casi di cronaca riportano di attacchi che, tramite la compromissione di una o più password di amministrazione, hanno permesso di accedere a dati riservati: basti pensare ad Hacking Team, che a seguito di un’intrusione nel sistema ha visto rendere pubblici 400 GB di e-mail, codice sorgente, contratti e documenti confidenziali. In altri casi, come per Ashley Madison, gli attacchi sono stati diretti alle password e agli account degli utenti registrati, con conseguente pubblicazione in rete di 33 milioni di nomi, indirizzi e numeri di carte di credito.
Il grande impatto di questo genere di violazioni dipende dal fatto che, nonostante esistano altri mezzi di identificazione dell’utente, i sistemi basati su username e password sono largamente impiegati per erogare servizi e per regolare l’accesso a risorse di natura confidenziale.
Perché le password sono così vulnerabili?
Le password consentono di implementare meccanismi di identificazione passiva, in cui il riconoscimento dell’utente è basato sulla dimostrazione della conoscenza di un “segreto” concordato durante la registrazione al servizio. In questo scenario il protocollo di identificazione prevede che:
- l’utente comunichi al servizio il proprio identificativo e la propria password;
- il servizio confronti la password ricevuta con quella precedentemente concordata con l’utente – eventualmente sottoponendola ad alcune trasformazioni, come l’aggiunta di numeri casuali ed il calcolo dell’hash.
Questo semplice scenario presenta diversi punti vulnerabili:
- la memoria dell’utente;
- la memoria elettronica utilizzata;
- la gestione della password durante le elaborazioni necessarie.
Per garantire la necessaria robustezza agli attacchi, una password deve essere sufficientemente lunga e composta da caratteri casuali. Spesso, però, per poterla ricordare facilmente, l’utente sceglie semplici sequenze numeriche o nomi propri, come dimostrano le classifiche che periodicamente elencano le password meno sicure in circolazione. Una leggerezza del genere, commessa all’interno di una organizzazione, compromette seriamente la sicurezza delle risorse aziendali: nel caso Hacking Team, il ricorso a password particolarmente deboli ha sicuramente giocato un ruolo chiave facilitando il successo dell’intrusione. Altrettanto rischiosa è l’abitudine di trascrivere le password su foglietti e post-it.
Anche la memoria elettronica in cui l’azienda conserva le password degli utenti può essere soggetta ad intrusioni. Il successo dell’attacco dipende dalla modalità con cui le credenziali sono state archiviate: le password salvate in chiaro possono essere semplicemente lette ed utilizzate, quelle di cui è stato memorizzato l’hash possono essere individuate utilizzando attacchi mirati.
Infine, anche quando la conservazione delle credenziali è robusta rispetto agli attacchi discussi, occorre prestare attenzione alle modalità con cui le password sono gestite nei momenti in cui è necessaria la loro elaborazione. La decifrazione delle password degli utenti di Ashley Madison è stata resa possibile proprio da questo tipo di errore: l’archivio delle stesse era protetto da Bcrypt, un sistema estremamente robusto la cui violazione avrebbe richiesto decine di anni, ma la gestione delle stesse password durante l’autenticazione dell’utente utilizzava un meccanismo diverso, basato sull’algoritmo di hash MD5 e quindi molto più debole.
Cosa possono fare le imprese?
Per ridurre le probabilità di successo di attacchi come quelli ricordati sopra, è fondamentale adottare politiche orientate ad una gestione differente che promuove prassi consolidate. Prassi realtivamente alle quali:
- si forniscono agli utenti e ai dipendenti delle linee guida per la scelta di password robuste e incoraggiare l’utilizzo di validatori automatici che ne misurino la sicurezza;
- si promuove l’utilizzo di software o servizi dedicati all’archiviazione sicura delle proprie password, per evitare l’utilizzo di fogli o file non cifrati che potrebbero essere facile preda di attacchi;
- si verifica che le politiche definite per la gestione delle credenziali siano effettivamente applicate in tutti i punti in cui il sistema utilizza o conserva le password.
L’adozione delle linee guida suggerite non può garantire la piena sicurezza a fronte di attacchi, ma contribuisce in maniera decisa a ridurre le probabilità di successo di intrusioni non autorizzate e a complicare le violazioni alla riservatezza dei dati eventualmente trafugati.
Se vuoi approfondire ulteriorimente guarda il video >