Mi trovo bene con l’attuale gestore SPID, quindi continuerò ad affidarmi a loro. Però rimane un problema che anche se veniale varrebbe la pena di discutere.
Le regole della password son quelle note, almeno un carattere speciale, almeno un numero, e nessuna parola comune per prevenire dictionary attacks. A questo si unisce una lunghezza massima di 16 caratteri. Il risultato è che vengono fuori passwords difficili da ricordare, quindi sono costretto a scriverle da qualche parte. SPID non è una cosa che uso tutti i giorni. Contando anche la password corta si aggiunge una possibile vulnerabilità. Da un pezzo ci si è resi conto che lunghe passphrases con regole meno rigide sono più sicure, perché si insiste ancora con regole tanto antiquate?
La necessità di scriversi le passwords alla fine ha portato alla solita ondata di tools che dovrebbero “semplificare” la vita degli utenti e sono diventati il bersaglio principale degli hackers. Personalmente non ho mai usato utilities tipo KeePass, ma vedo che sono diffuse e sono diventate un ulteriore rischio per la sicurezza.
P.S. Nel mio caso mi sono accorto che il controllo da dizionario non è perfetto, esclude solo le parole italiane, ma non mi sono affidato a quelle straniere visto il limite di 16 caratteri. Comunque se si considera l’entropia di un vocabolario con almeno tre lingue diverse ne viene fuori che gli allarmi sui dictionary attacks sono totalmente ingiustificati.
Immagino che il gestore SPID non voglia pagare un programmatore per cambiare il modulo di programma di questa funzione, che poi comporterebbe una serie infinita di test, certificazioni e via dicendo. Se poi in qualche regola astrusa in un manuale di 3,000 pagine e’ scritto che la password debba avere un certo formato, caschi il mondo non lo cambieranno a rischio perdita di certificazioni, multe ecc.
Io ho da parecchio tempo l’impressione che l’esagerata attenzione alla sicurezzza sia totalmente ingiustificata e serva solo ad arricchire le societa’ del settore. Una parola o frase astrusa serve a difenderci da attacchi di forza bruta. Ma sono documentati attacchi dove uno sconosciuto provi tutte le combinazioni possibili di nomi utente e di password? Sarebbero miliardi di miliardi. Non e’ equivalente a un attacco DDoS?
Ci sarebbe una soluzione sagace. A ogni nuovo tentativo di introdurre una password aumentare il tempo di risposta di 0,1 sec. Un umano neanche se ne accorge, per una macchina significa, dopo 100 tentativi a vuoto, aspettare 10 sec prima di passare al 101mo. Per le 30-40,000 parole del dizionario si avrebbe un tempo medio di attesa di circa mezz’ora tra un tentativo e il successivo. La “forza bruta” richiederebbe cioe’ secoli se non millenni.
Ma non usare un password manager nel 2025 è da crimini di guerra
Nella mia esperienza quando c’è tanta pressione ad usare un determinato tool finisce sempre con la fregatura. Come ho scritto prima ora tutti sanno che se vogliono cercare le password di una persona come prima cosa devono cercare il password manager sul suo computer.
Personalmente preferisco usare una partizione cifrata senza installare software ad hoc.
E’ proprio per questo che non credo agli attacchi di “forza bruta”, certamente non per indovinare la mia password di e-banking. Ma e’ proprio questa faccenda degli attacchi che viene presa come giustificazione (= come pretesto) per spingere 2FA, l’impronta, l’iride e tra un po’ vorranno anche il DNA. “Per proteggerci” e “nel nostro interesse”.
KeePass è un file locale crittografato a cui puoi agganciare chiavette fisiche per lo sblocco. Penso sia l’opposto di un rischio per la sicurezza, in particolare rapportato a sistemi che mandano OTP via cellulare se richiesto (tra cui vari gestori di SPID).
Quello che dici può essere condivisibile, ma non del tutto. Diciamo che la cosa sciocca di quel sistema sia di limitare la password a soli 16 caratteri. Diciamo anche che incentivare l’uso di passphrases sia ormai quasi d’obbligo.
Quello che non condivido è quanto dici sui password manager (nomini KeePass): sono ottimi sistemi per risolvere il problema di ricordarsi tutte le password, di averne una differente per ogni servizio… E sono decisamente sicuri, in quanto utilizzano dei sistemi di crittatura dei dati molto potenti e, solitamente, non sono condivisi su sistemi cloud.
Mi permetto di suggerire un modo per crearsi delle password “potenti” e facili da ricordare allo stesso tempo. Poniamo caso che io voglia utilizzare “NomeDelMioGatto” come password. Aggiungendo qua e là numeri e caratteri speciali che “somigliano” alla lettera che vado a sostituire, potrei ottenere qualcosa di simile a “N0m3D3lM10G@tto”. Magari usando anche parole dialettali e adattandole allo stesso metodo…
Molti gestori SPID, così come la CIE, si affidano ad app che sfruttano l’autenticazione biometrica del dispositivo su cui sono installate. Mi sembra una soluzione semplice e sicura, se non si vuole tenere a portata di mano la password.
In ogni caso io il mio keystore cifrato, protetto sempre da autenticazione biometrica e passphrase, ce l’ho e non credo che se ne possa fare a meno.
Mi permetto di essere in disaccordo con questa tua affermazione. La sicurezza non va presa sottogamba e, con qualche accorgimento e un po’ di “educazione” sui pericoli che si corrono, può anche non essere necessario “arricchire” le società del settore.
Su quasi tutti i sistemi in rete ci sono dei controlli antintrusione simili a quello che descrivi. Le tecniche di brute-force sono di fatto annullate da questi sistemi e (ognuno deve fare la sua parte) da password “sicure”. L’essere a conoscenza della presenza di un sistema antintrusione non giustifica l’utilizzo di password come “1234”
Infatti una password “potente” è molto meno violabile che non un accesso biometrico, con un ulteriore vantaggio: la password la posso cambiare, l’impronta digitale o l’iride no. Quindi in caso di violazione dell’accesso, la password, se ben studiata, è la soluzione migliore, senza necessità che qualcun altro ci “protegga nel nostro interesse”, qualunque cosa significhi
Se fai qualche ricerca online troverai tante fonti come questa che dicono che la lingua inglese ha raggiunto il milione di parole. In realtà si tratta di un conto che include termini che nessuno ricorda. In più ci sono nomi scientifici e altri termini non proprio da dizionario. Però se prendi i termini più noti, ci aggiungi la lingua italiana, nomi geografici e di persona, i termini più noti dal latino, francese e altre lingue hai un vocabolario di base da più di 300 mila parole. Se peschi tre parole da quel vocabolario hai un numero di permutazioni possibili di sedici cifre. Puoi ridurre le combinazioni possibili con tante regole euristiche, ma sotto le dieci cifre non scendi. (NB dieci cifre se sei sicuro che l’utente abbia scelto tre parole, se includi la possibilità che la password sia di 2, 3 o 4 parole si va ad un numero di permutazioni a 23 cifre che l’euristica non puó ridurre a meno di 14).
Il rischio di una passaphrase con tre parole esatte è che, se la digiti in ufficio o mentre usi il laptop in un luogo pubblico, qualcuno osservandoti da sopra la spalla potrebbe indovinarla anche se non vede tutti i caratteri che digiti. Ma si puó rimediare aggiungendo un errore di ortografia, un numero di poche cifre facile da ricordare o altre regole del tipo “tutte le n nella frase sono in maiuscolo”. Così la password diventa più difficile da carpire e il numero di permutazioni torna ad essere più di 12 cifre. L’importante è dire all’utente di inventarsi le sue regole per mantenere un buona variabilità senza fare troppi suggerimenti che poi diventano standardizzati.
Un numero di permutazioni di 12 cifre sarà inferiore a quello della tua stringa da 64 caratteri, ma è più che sufficiente. Mentre la tua password così complicata è talmente difficile da ricodare che non solo gli utenti se la scrivono, ma tanti invece di digitarla fanno copia e incolla mettendola nella clipboard che è un altro bersaglio degli hackers ed è un rischio per la sicurezza. Si tratta proprio di una di quelle regole antiquate di cui parlavo all’inizio.
Il problema qui è proprio il fatto di affidare ad altri la propria password o la propria autenticazione, soprattutto quando è un’azienda privata a scopo di lucro che ne diventa il custode. La mia password preferisco custodirla da me. Di sicuro non metto la mia autenticazione, che in questo caso è la mia identità di cittadino, nelle mani di Google o Apple.
non la scrivo. Uso il password manager proprio per quello. Ho solo la masger password complessa ma ricordabile per 1Password, il resto è auto completato (anche passkeys oggi giorno).
Non ho UNA password scritta o fuori 1Password.
Tu ne sarai tanto fiero, ma a me da più l’impressione di essere una stupidaggine. Oltretutto si sta portando la discussione fuori tema. Ho iniziato il thread spiegando che regole troppo rigide non migliorano la sicurezza. E tu intervieni suggerendo che è meglio affidare la propria sicurezza ad una azienda privata canadese. Se poi salta fuori la vulnerabilità chi paga?
Inoltre questo sistema ti obbliga a fare tutti i login dallo stesso OS, è più difficile distribuire gli accessi su macchine virtuali isolate. Così le onnipresenti googleapis possono correlare tutte le informazioni che carpiscono da ogni login.
