RSA Security: troppe password sono l'anello debole nella sicurezza delle aziende
di Marco Giuliani, pubblicata il 16 Settembre 2006, alle 07:23 nel canale Sicurezza
“Seconda indagine annuale portata avanti dalla societį RSA Security mette in evidenza che le troppe password sono il punto debole nella sicurezza di un'azienda.”
Notizia Precedente 
Commenti (29)
Commento # 11
di: Johnn
pubblicato il 16 Settembre 2006, 11:35
Ma l'introduzione di sistemi biometrici al posto delle password, non è come se ne utilizzasse solo una dall'e-mail all'ufficio al fantacalcio, anche se complessa?
Inoltre nei sistemi biometrici, una volta che la chiave è stata scoperta, risulta difficile cambirla (come cambiare impronta digitale?).
Inoltre nei sistemi biometrici, una volta che la chiave è stata scoperta, risulta difficile cambirla (come cambiare impronta digitale?).
Commento # 12
di: Tasslehoff
pubblicato il 16 Settembre 2006, 11:49
Non voglio offendere nessuno, però ragazzi vedo un po' di arroganza in parecchi post, magari non voluta però c'è...
Il problema delle password è vecchio come il mondo, questo lo sappiamo tutti, ed è un problema che si cerca sempre di focalizzare sull'utente ritenuto sempre l'anello debole della catena...
Percò come giustamente faceva notare qualcuno, sfido chiunque a ricordare 10 o 20 password per fare qualsiasi cosa...
L'utente che non riesce a ricordarsi le password in un panorama di questo tipo non è un utonto, è una persona normalissima dato che io stesso da tecnico che si occupa anche di questo non la ritengo nemmeno pensabile una cosa del genere... figuriamoci chi deve usare uno strumento hw o sw che sia, e che lo usa per quello che è senza nessun interesse o passione per quello che ci sta dietro (non per cattiveria o altro, semplicemente perchè per lui è solo uno strumento e deve restare tale, come è giusto che sia...).
Io mi trovo spesso a lavorare in una grossa realtà della PA del nord italia, provate a immaginare un'ente o società con 11000 dipendenti, ciascuno dei quali deve ricordarsi almeno le seguenti password:
- utente di dominio
- webmail
- client di posta
- intranet
- almeno 3 utenze per applicativi vari
Ragazzi, sono almeno 7 password che dovrebbero essere lunghe, alfanumeriche e dovrebbero cambiare radicalmente ogni 3 mesi, il tutto moltiplicato per 11000 persone... siamo seri... nemmeno nel migliore dei mondi possibili sarebbe realizzabile tutto questo.
Sappiamo tutti che cambiarle di frequente spesso porta a password stupide, ok, però questo fenomeno è molto influenzato da quante password un utente deve cambiare e da quanto frequentemente.
Dato che la frequenza è dettata dal legislatore, perchè non si lavora un po' sull'altro aspetto?
Non so voi in quante aziende avete provato a lavorare, però in un buon 80% di quelle in cui sono stato io negli ultimi 5 anni ogni strumento è un mondo a se, la posta, la webmail, la intranet etc etc...
Perchè non usare gli strumenti che ci sono, sono consolidati, sono utili e volendo anche relativamente semplici e non troppo costosi per limitare il numero delle password?!?!?!? Perchè non usare meccanismi come single sign-on, LDAP centralizzati e robe del genere?!?!?
In qualsiasi azienda sia stato tutti usano un dominio Active Directory o un server di posta Lotus Domino, se si pagano tanti soldi in licenze perchè non si impara ad usare gli strumenti che si hanno a disposizione? Succede poi che si spendono altri soldi per qualcosa che si aveva già ma non si sapeva di avere, chessò, un altro LDAP quando in azienda ce n'erano già due pressochè inutilizzati, la complessità aumenta e le login pure, la lira si "impenna" e il numero di password pure... eccoci tornati al punto di partenza...
Il problema delle password è vecchio come il mondo, questo lo sappiamo tutti, ed è un problema che si cerca sempre di focalizzare sull'utente ritenuto sempre l'anello debole della catena...
Percò come giustamente faceva notare qualcuno, sfido chiunque a ricordare 10 o 20 password per fare qualsiasi cosa...
L'utente che non riesce a ricordarsi le password in un panorama di questo tipo non è un utonto, è una persona normalissima dato che io stesso da tecnico che si occupa anche di questo non la ritengo nemmeno pensabile una cosa del genere... figuriamoci chi deve usare uno strumento hw o sw che sia, e che lo usa per quello che è senza nessun interesse o passione per quello che ci sta dietro (non per cattiveria o altro, semplicemente perchè per lui è solo uno strumento e deve restare tale, come è giusto che sia...).
Io mi trovo spesso a lavorare in una grossa realtà della PA del nord italia, provate a immaginare un'ente o società con 11000 dipendenti, ciascuno dei quali deve ricordarsi almeno le seguenti password:
- utente di dominio
- webmail
- client di posta
- intranet
- almeno 3 utenze per applicativi vari
Ragazzi, sono almeno 7 password che dovrebbero essere lunghe, alfanumeriche e dovrebbero cambiare radicalmente ogni 3 mesi, il tutto moltiplicato per 11000 persone... siamo seri... nemmeno nel migliore dei mondi possibili sarebbe realizzabile tutto questo.
Sappiamo tutti che cambiarle di frequente spesso porta a password stupide, ok, però questo fenomeno è molto influenzato da quante password un utente deve cambiare e da quanto frequentemente.
Dato che la frequenza è dettata dal legislatore, perchè non si lavora un po' sull'altro aspetto?
Non so voi in quante aziende avete provato a lavorare, però in un buon 80% di quelle in cui sono stato io negli ultimi 5 anni ogni strumento è un mondo a se, la posta, la webmail, la intranet etc etc...
Perchè non usare gli strumenti che ci sono, sono consolidati, sono utili e volendo anche relativamente semplici e non troppo costosi per limitare il numero delle password?!?!?!? Perchè non usare meccanismi come single sign-on, LDAP centralizzati e robe del genere?!?!?
In qualsiasi azienda sia stato tutti usano un dominio Active Directory o un server di posta Lotus Domino, se si pagano tanti soldi in licenze perchè non si impara ad usare gli strumenti che si hanno a disposizione? Succede poi che si spendono altri soldi per qualcosa che si aveva già ma non si sapeva di avere, chessò, un altro LDAP quando in azienda ce n'erano già due pressochè inutilizzati, la complessità aumenta e le login pure, la lira si "impenna" e il numero di password pure... eccoci tornati al punto di partenza...
Commento # 13
di: volpe71
pubblicato il 16 Settembre 2006, 12:00
...
Concondo pienamente con Tasslehoff.
In più vi cito il caso dell'ultima azienda per cui ho lavorato.
Non solo non usano (anche avendoli a disposizione) sistemi di gestione centralizzata delle password (in breve single sign-on) per gli applicativi di terzi ma addirittura i software da LORO sviluppati (gestione risorse umane, e i moduli sono _TANTI_) non sanno nemmeno cosa sia:
- una gestione centralizzata degli accessi per i vari moduli installati e autorizzati al singolo utente
- un master data per le informazioni comuni a tutti i moduli
- ... il resto ve lo risparmio per carità di patria
e non si parla di un'aziendina piccola !
Concondo pienamente con Tasslehoff.
In più vi cito il caso dell'ultima azienda per cui ho lavorato.
Non solo non usano (anche avendoli a disposizione) sistemi di gestione centralizzata delle password (in breve single sign-on) per gli applicativi di terzi ma addirittura i software da LORO sviluppati (gestione risorse umane, e i moduli sono _TANTI_) non sanno nemmeno cosa sia:
- una gestione centralizzata degli accessi per i vari moduli installati e autorizzati al singolo utente
- un master data per le informazioni comuni a tutti i moduli
- ... il resto ve lo risparmio per carità di patria
e non si parla di un'aziendina piccola !
Commento # 14
di: rutto
pubblicato il 16 Settembre 2006, 12:38
in ogni contesto di sicurezza, la robustezza del sistema e' uguale a quella dell'anello piu' debole che, guarda a caso, e' spesso l'utente 
Commento # 15
di: ^TiGeRShArK^
pubblicato il 16 Settembre 2006, 13:46
Originariamente inviato da: riva.dani
Quoto Chester. In media gli utenti che possono scegliere la password ne scelgono una semplice da ricordare, o magari la stessa che usano per la posta o altri ambiti, in modo da dover ricordare una sola password. Quando invece la password viene impostata automaticamente, l'unico modod che l'utonto trova per ricordare quella stringa di caratteri senza senso è scriverla un po' ovunque...
Una soluzione potrebbero essere gli scanner biometrici per le impronte digitali, magari in abbinamento a token fisici. Se date all'utonto una password, non si curerà minimamente di proteggerla. Se date all'utonto un oggetto fisico che funziona da chiave, probabilmente lo terrà sempre al sicuro, come è abituato a fare per le chiavi di casa, dell'auto, ecc...
Una soluzione potrebbero essere gli scanner biometrici per le impronte digitali, magari in abbinamento a token fisici. Se date all'utonto una password, non si curerà minimamente di proteggerla. Se date all'utonto un oggetto fisico che funziona da chiave, probabilmente lo terrà sempre al sicuro, come è abituato a fare per le chiavi di casa, dell'auto, ecc...
non è detto.
nelle aziende serie anzikè assegnare la password dall'alto rendendola praticamente impossibile all'utente da ricordare, la fanno scegliere a lui ma mettendo dei vincoli molto restrittivi.
Innanzitutto deve avere una lunghezza minima di 10 caratteri (ma dipende da azienda ad azienda), inoltre deve contenere caratteri alfabetici E numerici E simboli.
Infine in certe situazioni non può contenere il proprio nome o cognome.
In questo modo l'utente è praticamente costretto a scegliere una password sicura che, si spera, riesca a ricordare abbastanza facilmente.
Commento # 16
di: ^TiGeRShArK^
pubblicato il 16 Settembre 2006, 13:49
Originariamente inviato da: Tasslehoff
CUT
da me usavano ldap
anke se non per tutti i login....
Commento # 17
di: casacup
pubblicato il 16 Settembre 2006, 14:25
ma solo io sono dell'opinione che si potrebbe risolvere il tutto tramite sistemi incrociati di sicurezza?
smartcard+password, sistemi biometrici + password, o addirittura smart card, sistemi biometrici e password insieme?
In questo modo si andrebbe incontro alle esigenze dell'utente: la smart gestisce l'accesso alle diverse utenze su programmi e database diversi, e la password serve a prevenire il fatto che ci possa essere una perdita della card.
Se la password viene scoperta senza smart non si può fare nulla e viceversa: l'utente dovrebbe ricordare una sola password (e a questo punto può essere davvero complicata) e questa verrebbe incrociata con ciò che è contenuto nella card...
Oppure la mia è una soluzione senza senso? mi piacerebbe sapere quali sono eventuali controindicazioni, visto che personalmente non ne vedo
smartcard+password, sistemi biometrici + password, o addirittura smart card, sistemi biometrici e password insieme?
In questo modo si andrebbe incontro alle esigenze dell'utente: la smart gestisce l'accesso alle diverse utenze su programmi e database diversi, e la password serve a prevenire il fatto che ci possa essere una perdita della card.
Se la password viene scoperta senza smart non si può fare nulla e viceversa: l'utente dovrebbe ricordare una sola password (e a questo punto può essere davvero complicata) e questa verrebbe incrociata con ciò che è contenuto nella card...
Oppure la mia è una soluzione senza senso? mi piacerebbe sapere quali sono eventuali controindicazioni, visto che personalmente non ne vedo
Commento # 18
di: Bongio2
pubblicato il 16 Settembre 2006, 14:44
X casacup
Ho appena fatto l'esame di elementi di sicurezza e viene indicato come il + sicuro il sistema misto (riconoscimento biometrico sul token (la smart-card ad es.) e poi il token x il resto), anche se non sempre è economicamente conveniente farlo.......
Ho appena fatto l'esame di elementi di sicurezza e viene indicato come il + sicuro il sistema misto (riconoscimento biometrico sul token (la smart-card ad es.) e poi il token x il resto), anche se non sempre è economicamente conveniente farlo.......
Commento # 19
di: casacup
pubblicato il 16 Settembre 2006, 15:11
Originariamente inviato da: Bongio2
Ho appena fatto l'esame di elementi di sicurezza e viene indicato come il + sicuro il sistema misto (riconoscimento biometrico sul token (la smart-card ad es.) e poi il token x il resto), anche se non sempre è economicamente conveniente farlo.......
sono un genio allora
vabbè, a parte gli scherzi, un lettore di smart card non credo sia così dispendioso (parliamo di aziende di dimensione almeno media cmq...), sicuramente costa meno di uno scanner di retina o di impronte.
Il problema di fondo è per l'accesso in remoto: di certo non si può fornire ogni dipendete di un lettore di smartcard/retina/impronte digitali, sarebbe sicuramente dispendioso, senza contare la necessità di avere cmq un software dedicato sul pc di casa. E quindi quale potrebbe essere la soluzione?
Un accesso con privilegi limitati dall'esterno grazie alla sola password potrebbe aiutare, ma credo sia un semplice palliativo... Forse si potrebbero usare una doppia password, delle quale una è propria dell'utente, l'altra invece è generata da un dispositivo (mostravano una cosa simile in una pubblicità di una banca, non ricordo quale) che le genera secondo un algoritmo presente nel server con validità temporale limitata (tipo 30 secondi, o cose del genere).
anzi, a ben pensarci questo sistema potrebbe essere utilizzato anche per la sicurezza locale, però sarebbe sicuramente più rischioso, poichè se uno di questi aggeggini venisse perso costringerebbe a cambiare la chiave interna dell'algoritmo, oltre alla possibilità che l'algoritmo stessa possa uscire fuori.
certo, una chiave a 1024 bit risolverebbe il problema
o sto di nuovo dicendo un mare di cazzate?
Commento # 20
di: Jon_Snow
pubblicato il 16 Settembre 2006, 16:08
L'articolo dice una sacrosanta verità c'è ben poco da aggiungere.
News
Per contattare l'autore del pezzo, cosģ da avere una risposta rapida, si prega di utilizzare l'email personale (vedere in alto sotto il titolo). Non č detto che una domanda diretta inserita nei commenti venga verificata in tempi rapidi. In alternativa contattare la redazione a questo indirizzo email.