Re: [ml] Static Password vs Changing Password

Alberto Trivero wrote:

> E' una questione di ricerca di compromessi adeguati. Il fatto che un 
> utente possa tenere in memoria, per sue ragioni, una password 
> considerata sicura secondo i classici criteri di complessità, non 
> implica che, in qualche modo (phishing attack, compromissione del 
> sistema dell'utente, shoulder surfing, etc..), qualcuno non possa 
> entrarvi lo stesso in possesso. Cambiare la password di un utente ogni 
> un tot di tempo dà qualche garanzia di sicurezza in più contro questi 
> problemi, non molto, ma qualcosina sì.

Ultimamente sono molto perplesso riguardo al concetto di qualità 
della password, specialmente quando si parla di password 
memorizzabili. Da quando mi occupo di sicurezza sento parlare di 
password di 8 caratteri, casuali oppure scelte con un qualsiasi 
criterio. Solo che negli ultimi quindici anni, qualcosa nelle 
capacità di calcolo dei computer è cambiato ;) Tralascio per ora il 
discorso relativo ad altri strumenti di autenticazione e rimango 
sulle password.
Se non sbaglio i calcoli, una password casuale di 8 caratteri sono 
qualcosa come 2^48 bit (8 caratteri da un set di circa 64). Appena 
ci si sposta dalla password casuale, quale che sia il criterio di 
selezione, il numero crolla rapidamente. Non so a che punto siano le 
prestazioni dei cracker, ma ho l'impressione che 48 bit 
rappresentino in molti casi ancora una protezione anche se le 
password possono essere provate a velocità arbitraria e senza 
impedimenti, ad esempio perché si ha un hash a disposizione (nessuno 
investe troppo per la mia password su un blog), ma appena si cala un 
po' credo che la protezione diventi trascurabile. Viceversa, se ci 
sono impedimenti (rallentamenti, blocchi dopo un certo numero di 
tentativi ecc.), la qualità diventa un problema meno importante, 
come dimostrano le recenti discussione sui PIN dei bancomat. Allora 
forse, invece di continuare a discutere sulle caratteristiche delle 
password, sarebbe il caso di concentrarsi di più (noi, le norme, la 
formazione, lo sviluppo di codice) su quali criteri usare per i 
rallentamenti, su quali per il blocco (temporaneo) delle credenziali 
e sulle situazioni in cui hash e simili sono disponibili, partendo 
dall'ipotesi che se il sistema dell'utente è compromesso, non c'è 
qualità della password, memoria o keyring che tenga.

Riguardo al cambio della password, anche qui è una questione di 
modelli delle minacce. Secondo me, cambiare la password dell'home 
banking di un utente è inutile, perché quando la password viene 
compromessa, viene anche utilizzata subito e l'utente se ne accorge 
in breve tempo, il tutto prima che ci sia necessità di cambiarla 
("tutto aiuta" non è una grande idea quando implica anche una grossa 
scomodità per l'utente). Viceversa, in un'azienda cambiare la 
password può voler dire mettere un limite alla condivisione, quando 
si ritiene che la cosa costituisca un problema.

ciao

- Claudio

--

Claudio Telmon
claudio@xxxxxxxxxx
http://www.telmon.org