Password: la compromissione è un gioco da ragazzi per i cybercriminali

Gli algoritmi di smart guessing aiutano i cybercriminali a compromettere le password deboli

Attraverso un nuovo studio, a giugno 2024 Kaspersky ha analizzato 193 milioni di password, che sono state trovate nel dominio pubblico su varie risorse darknet. I risultati dimostrano che la maggior parte delle chiavi d’accesso analizzate non erano sufficientemente forti e potevano essere facilmente compromesse utilizzando algoritmi di smart guessing. Ecco come capire la velocità con cui ciò può accadere:

  • 45% (87 milioni) in meno di 1 minuto.
  • 14% (27 milioni) – da 1 minuto a 1 ora.
  • 8% (15 milioni) – da 1 ora a 1 giorno.
  • 6% (12 milioni) – da 1 giorno a 1 mese.
  • 4% (8 milioni) – da 1 mese a 1 anno.

Gli esperti hanno ritenuto resistenti solo il 23% (44 milioni) delle chiavi d’accesso e per comprometterle ci vorrebbe più di un anno.

Inoltre, la maggior parte delle chiavi d’accesso esaminate (57%) contiene una parola del dizionario, il che ne riduce significativamente la forza. Tra le sequenze di vocaboli più popolari, si possono distinguere diversi gruppi:

  • Nomi: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
  • Parole ricorrenti: “per sempre”, “amore”, “google”, “hacker”, “gamer”.
  • Password standard: “password”, “qwerty12345”, “admin”, “12345”, “team”.

L’analisi ha mostrato che solo il 19% di tutte le password contiene gli elementi di una combinazione forte e difficile da decifrare: lettere minuscole e maiuscole, numeri e simboli e non contiene parole standard del dizionario. Allo stesso tempo, lo studio ha rivelato che il 39% di queste chiavi d’accesso potrebbe essere indovinato con algoritmi intelligenti in meno di un’ora.

L’aspetto più preoccupante è che gli aggressori non hanno bisogno di conoscenze approfondite o di attrezzature costose per decifrare le chiavi d’accesso. Ad esempio, un potente processore di un computer portatile è in grado di trovare la combinazione corretta per una password di 8 lettere minuscole o cifre utilizzando la forza bruta in soli 7 minuti. Inoltre, le moderne schede video sono in grado di svolgere lo stesso compito in 17 secondi. Inoltre, gli algoritmi intelligenti per indovinare le password considerano le sostituzioni di caratteri (“e” con “3”, “1” con “!” o “a” con “@”) e le sequenze più diffuse (“qwerty”, “12345”, “asdfg”).

Alcuni consigli da Kaspersky

Per migliorare la policy in materia di password, gli utenti possono utilizzare i seguenti semplici consigli:

  • È quasi impossibile memorizzare chiavi d’accesso lunghe e uniche per tutti i servizi utilizzati, ma con un password manager è possibile memorizzare una sola password principale.
  • Utilizzare una password diversa per ogni servizio, in questo modo, anche se uno dei propri account venisse rubato, gli altri non sarebbero coinvolti.
  • Le passphrase possono essere più sicure quando si usano parole inaspettate. Anche se si utilizzano parole comuni, è possibile disporle in un ordine insolito e assicurarsi che non siano correlate. Esistono anche servizi online che aiuteranno a verificare se una password è abbastanza forte.
  • È meglio non utilizzare chiavi d’accesso che possano essere facilmente indovinate a partire da informazioni personali, come date di nascita, nomi di familiari, animali domestici o il proprio nome. Questi sono spesso i primi tentativi che compie un aggressore per indovinare la password.
  • Attivare l’autenticazione a due fattori (2FA). Nonostante non sia direttamente correlata alla forza delle password, l’attivazione della 2FA aggiunge un ulteriore livello di sicurezza. Anche se qualcuno scoprisse la password, avrebbe comunque bisogno di una seconda forma di verifica per accedere all’ account. I moderni gestori di password memorizzano le chiavi 2FA e le proteggono con i più recenti algoritmi di crittografia.
  • L’utilizzo di una soluzione di sicurezza affidabile aumenta il livello di protezione. Monitora Internet e il Dark Web e avvisa se le password devono essere modificate.

Informazioni sullo studio della vulnerabilità delle password

La ricerca è stata condotta sulla base di 193 milioni di password pubblicamente disponibili su varie risorse della darknet.

Nell’ambito del sondaggio, gli esperti Kaspersky hanno utilizzato i seguenti algoritmi per indovinare le chiavi d’accesso:

  • Bruteforce: è un metodo per indovinare una password che consiste nel provare sistematicamente tutte le possibili combinazioni di caratteri fino a trovare quella corretta.
  • Zxcvbn: è un algoritmo di punteggio avanzato disponibile su GitHub. Per una password esistente, l’algoritmo ne determina lo schema. Successivamente, l’algoritmo conta il numero di iterazioni di ricerca necessarie per ogni elemento dello schema. Quindi, se la chiave d’accesso contiene una parola, la sua ricerca richiederà un numero di iterazioni pari alla lunghezza del dizionario. Avendo a disposizione il tempo di ricerca per ogni elemento dello schema, possiamo contare la forza della password.
  • Algoritmo di smart guessing: è un algoritmo di apprendimento. Basandosi sul set di dati delle password degli utenti, può calcolare la frequenza delle varie combinazioni di caratteri. Quindi può generare prove a partire dalle varianti più frequenti e dalle loro combinazioni a quelle meno ricorrenti.

26 Giugno 2024

Linee guida in materia di conservazione delle password

Tratto da www.garanteprivacy.it – Newsletter del 01/03/2024

Le password giocano un ruolo determinante nel proteggere la vita delle persone nel mondo digitale. Ed è proprio con l’obiettivo di innalzare il livello di sicurezza, sia dei fornitori di servizi digitali sia degli sviluppatori di software, che nel dicembre 2023 l’Agenzia per la cybersicurezza nazionale (ACN) e il Garante per la protezione dei dati personali hanno messo a punto specifiche linee guida in materia di conservazione delle password, fornendo importanti indicazioni sulle misure tecniche da adottare.

Molte violazioni dei dati personali sono infatti strettamente collegate alle modalità di protezione delle password. Troppo spesso furti di identità sono causati dall’utilizzo di credenziali di autenticazione informatica archiviate in database non adeguatamente protetti con funzioni crittografiche.

Tali attacchi informatici sfruttano la cattiva abitudine degli utenti di utilizzare la stessa password per l’accesso a diversi servizi online, con la conseguenza che la compromissione delle credenziali di autenticazione di un singolo servizio potrebbe causare l’accesso non autorizzato a una pluralità di sistemi. Studi di settore dimostrano che il furto di username e password consente ai cybercriminali di commettere numerose frodi a danno delle vittime. I dati rubati vengono utilizzati per entrare illecitamente nei siti di intrattenimento (35,6%), nei social media (21,9%) e nei portali di e-commerce (21,2%). In altri casi, permettono di accedere a forum e siti web di servizi a pagamento (18,8%) e finanziari (1,3%).

Le Linee Guida sono rivolte a tutte le imprese e le amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, le quali si riferiscono a un numero elevato di interessati (es. gestori dell’identità digitale SPID o CieID, gestori PEC, gestori di servizi di posta elettronica, banche, assicurazioni, operatori telefonici, strutture sanitarie, etc.), a soggetti che accedono a banche dati di particolare rilevanza o dimensioni (es. dipendenti di pubbliche amministrazioni), oppure a tipologie di utenti che abitualmente trattano dati sensibili o giudiziari (es. professionisti sanitari, avvocati, magistrati).

L’obiettivo delle Linee Guida è quello di fornire raccomandazioni sulle funzioni crittografiche ritenute attualmente più sicure per la conservazione delle password, in modo da evitare che le credenziali di autenticazione (username e password) possano venire violate e finire nelle mani di cybercriminali, per essere poi messe online o utilizzate per furti di identità, richieste di riscatto o altri tipi di attacchi.

4 Marzo 2024

Password: dal Garante i suggerimenti per sceglierle e conservarle in modo sicuro

 
 
Tratto da www.garanteprivacy.it
Data di pubblicazione: 25/10/2021
 
 
 
 
 

Pochi e semplici suggerimenti per la sicurezza dei dispositivi e dei servizi digitali che utilizziamo ogni giorno. Il Garante lancia una nuova scheda con consigli di base per impostare password sicure e gestirle in modo accorto. 

Il nuovo vademecum spiega ad esempio come scegliere una buona password, come gestire tutte quelle che fanno parte della nostra vita quotidiana (da quelle per accedere ai dispositivi a quelle per i vari servizi di e-mail, acquisto online, ecc.) e come conservarle in modo che non siano facile preda di eventuali malintenzionati.

La prima linea di difesa dei nostri dati personali è sempre la consapevolezza su come gestiamo, conserviamo ed eventualmente diffondiamo le informazioni che ci riguardano. 

La scheda, che ha finalità divulgative, si inserisce nel quadro delle attività di educazione digitale di base che fanno parte della missione specifica dell’Autorità.

26 Ottobre 2021

I dieci consigli per l’igiene cibernetica per le PMI in tempo di pandemia

Tratto da www.enisa.europa.eu
 

ENISA l’Agenzia europea per la sicurezza informatica pubblica dieci suggerimenti per l’igiene informatica a supporto delle PMI nella protezione dei loro beni virtuali dagli attacchi informatici, durante la pandemia di COVID-19.

Le crisi come l’attuale pandemia di COVID-19 hanno un grave impatto sulla società e sull’economia europea, nonché internazionale. Le piccole e medie imprese (PMI) affrontano spesso periodi difficili. Sfortunatamente, i criminali informatici spesso vedono tali crisi come opportunità. Gli attacchi di phishing e ransomware sono in aumento.

Le PMI si trovano anche di fronte a una nuova realtà in cui i dipendenti lavorano di più da casa. In questo modo diventano ancora più dipendenti dall’Information Technology (IT) di prima. Inutile dire che proteggere queste risorse virtuali è della massima importanza per quasi tutte le PMI. 

Secondo l’ENISA, i dieci principali argomenti relativi all’igiene informatica che le PMI dovrebbero affrontare, possibilmente esternalizzando ove necessario, sono presentati di seguito:

  • Management buy-in. È importante che la direzione veda l’importanza della sicurezza informatica per l’organizzazione e che sia regolarmente informata.
  • Valutazione del rischio. La valutazione preliminare dello stato di sicurezza in azienda identifica e stabilisce le priorità: quali risorse proteggere prima di altre e da quali minacce?
  • Politica di cyber security. Predisporre le politiche necessarie per gestire la sicurezza informatica e nominare qualcuno, ad esempio un responsabile della sicurezza delle informazioni (ISO), responsabile della supervisione dell’attuazione di tali politiche.
  • Consapevolezza. I dipendenti devono comprendere i rischi e devono essere informati su come comportarsi online. Le persone tendono a dimenticare queste cose piuttosto rapidamente, quindi ripeterle ogni tanto può essere prezioso.
  • Aggiornamenti. Effettuare sempre tutti gli aggiornamenti consigliati in ogni server, workstation, smartphone, magari tramite processi automatizzati e di test.
  • Backup. Prima di eseguire questi aggiornamenti, è fondamentale disporre di buoni backup. Eseguire spesso il backup dei dati più importanti mette l’azienda al riparo dai costi di ripristino che potrebbero seguire ad un attacco ransomware. Si consiglia di conservare dei backup offline, controllare periodicamente il loro stato e duplicarli per una maggiore sicurezza.
  • Gestione degli accessi. Predisporre regole / politiche per la gestione degli accessi e applicarle. Assicurarsi che le password predefinite vengano modificate, ad esempio, che le password non vengano condivise, ecc.
  • Protezione endpoint. Proteggere gli endpoint, prima di tutto installando un software antivirus.
  • Accesso remoto sicuro. Limitare il più possibile l’accesso remoto e dove assolutamente necessario, abilitarlo ma in modo sicuro. Assicurarsi che la comunicazione sia crittografata correttamente.
  • Piano di gestione degli incidenti (Recovery). Predisporre un piano dettagliato su come gestire un incidente quando si verifica. Quali scenari potrebbero verificarsi e quali soggetti contattare?

29 Ottobre 2020