Re: [ml] Homebanking password security

Raffaele:
> > > Sinceramente sono rimasto un po' sorpreso, infatti ho sempre creduto che
> > > se i caratteri che formano la password sono ASCII, e non sono
> > > alfanumerici, lo spazio delle chiavi e' piu' grande (95 caratteri contro
> > > 60), di conseguenza con uno spazio delle chiavi piu' grande risulta piu'
> > > difficile risalire alla password tramite un attacco a forza bruta.

Tullio Andreatta:
> > Tutte le regole restrittive non fanno altro che rendere la password piu'
> > facile da indovinare (per un computer) e piu' difficile da ricordare
> > (per una persona). Ogni regola, infatti, diminuisce il numero delle
> > password differenti che si possono generale (tra cui anche le password
> > facili da ricordare).

Claudio Telmon:
> Anche questa à una vecchia discussione. Quello che dici sarebbe vero
> se, in assenza di regole, l'utente si comportasse in modo ottimale e
> scegliesse la password in modo casuale.

Sia in assenza di regole, sia in presenza di regole, l'utente non si
comporta mai PER DEFINIZIONE in modo ottimale: l'utente non sceglie
mai la password in modo casuale come farebbe un computer - altrimenti
non sarebbe in grado di ricordarla.
Gli utenti evoluti si comportano come Marcello Barnaba che utilizza

> password random e un software (apple keychain/seahorse/kdewallet)
> che permette di salvarle cifrate su disco e di recuperarle
> utilizzando una "master password"

ovvero sostituiscono una password difficile da ricordare con una
memoria "esterna" protetta da una password facile da ricordare - e
siamo punto e a capo.
Gli altri dovrebbero usare una password facile da ricordare, ma se
viene loro impedito usano altre memorie esterne, non protette da
password (le piu' comuni sono i PostIt).

> In assenza di regole, l'utente non si comporta cosÃ, quindi il modello
> della distribuzione uniforme à sbagliato e quindi anche con uno spazio
> delle chiavi pià ampio la password risulta pià facile da indovinare.
> Lo scopo delle regole à proprio costringere l'utente ad una scelta il
> pià possibile casuale, seppure su uno spazio pià piccolo.

Il risultato finale, pero', e' una diminuzione della sicurezza
complessiva: dato che la password diventa difficile da ricordare,
molti "forzano" il sistema per ottenere la password piu' facile da
ricordare (ad esempio, con le regole di questo home banking si
potrebbe usare: iniziali del nome e cognome piu' data di nascita,
in pratica la password usata nei film dall'"hacker" per scardinare
i computer della NASA...) oppure scelgono una password molto piu'
complicata E LA SCRIVONO SU DI UN FOGLIETTO CHE TENGONO IN TASCA O
APPICCICATO AL MONITOR, e questo per la sicurezza e' ancora peggio.

Infatti, qual e' il motivo di tutte le regole? E' che se si dice ad
un utente "usa quello che vuoi" usera' sempre la stessa password,
"non la stessa" cambiera' un carattere in fondo, "puoi usare tutte
le lettere che vuoi" usera' una parola di senso compiuto, se si
aggiunge "ma devono esserci anche numeri" aggiungera' una data, se
si aggiunge "ma non la userid" usera' solo un pezzo della userid,
"almeno 8 caratteri" usera' una password di massimo 8 caratteri,
se si aggiunge "non consecutivi" usera' qwerty135 ... ed ecco
che siamo finalmente arrivati a una password crittograficamente
forte! :-)

Quindi le regole servono:
a) a diminuire la resistenza teorica ad un attacco brute-force;
b) a diminuire la possibilita' per l'utente di usare una password
   facile da ricordare ma difficile da indovinare, e soprattutto
c) a parare il culo agli amministratori dei sistemi delle banche, che
   in caso di leak della password possono dire di aver fatto "tutti
   gli sforzi possibili" perche' cio' non avvenisse.

(Tra l'altro, il motivo (c) e' evidenziato in questo esempio anche
dal tentativo di impedire la possibilita' di sql injection: invece
di scrivere bene il programma, si impedisce all'utente di incappare
in un bug - e cosi', come effetto collaterale, si semplifica pure
il lavoro di costruzione dei "siti fotocopia" per il phishing ...)

Saluti,

--
Tullio Andreatta
09:f9:11:02:9d:74:e3:5b:d8:41:56:c5:63:56:88:c0
45:5f:e1:04:22:ca:29:c4:93:3f:95:05:2b:79:2a:b2

Disclaimer: "Please treat this email message in a reasonable way, or we
    might get angry" ( http://www.goldmark.org/jeff/stupid-disclaimers )