Laboratorio 3 Corso di Informatica di Base
annuncio pubblicitario
Corso di Informatica di Base Laboratorio 3 Password Francesca Mazzoni Gestire le password ● Ogni sito o servizio a cui siamo iscritti richiede di scegliere un utente e una password che devono essere ricordate ● ● Non è sempre possibile utilizzare il solito nome utente Non è consigliabile usare sempre la stessa password né sceglierne una troppo semplice o facilmente indovinabile (nomeCognome, nome e anno di nascita, nome del gatto/cane ecc) Informatica 2010-2011 Password Scegliere le password ● Per ragioni di sicurezza una password non deve: ● Essere troppo corta (meno di 8 caratteri) ● Contenere soltanto lettere o numeri ● Essere comunicata ad altri (amici, colleghi...) ● ● ● Essere una parola nota (nome di persona, di città, stato ecc) Essere facilmente indovinabile (vostronome+data di nascita, vostro soprannome, uguale alla username) Tenere traccia di tante password efficaci può ed è complicato quindi suggeriamo di valutare l'uso di un password manager Informatica 2010-2011 Password Password cracking ● ● ● ● Recuperare una password di un utente è tecnicamente sempre possibile. Possiamo difenderci intervenendo sulla sua complessità: più la scegliamo complicata più tentativi devono essere fatti da un algoritmo bruteforce. Se fa parte di un dizionario bastano pochi minuti. Si può verificare la validità di una password tramite siti come http://www.passwordmeter.com (non inserite esattamente la vostra password (non si sa mai) ma fate prove con password simili come lunghezza e presenza di numeri o simboli) Informatica 2010-2011 Password Tempo per crackare una password ● ● ● ● ● I programmi per il cracking delle password effettuano un primo passaggio usando un dizionario che contiene le password più usate Se non è sufficiente avviano una procedura di bruteforce che può essere ottimizzata o meno Per avere una stima del tempo necessario per crackare la vostra password potete provare con questo foglio di lavoro di Excel http://www.mandylionlabs.com/documents/BFTCalc.xls È una stima calcolata usando come riferimento la potenza dei PC in vendita nel 2008 Forse nessuno si metterà mai a provarci con la vostra password personale, ma nel caso della password che usate al lavoro le cose possono cambiare.. Informatica 2010-2011 Password LastPass ● ● ● LastPass è un password manger “remoto” che conserva le password dell'utente su un server in modo sicuro e tramite plugins per i broswser permette di gestirle. I plugin sono disponibili per: ● Internet Explorer (windows), ● Firefox (linux, windows e mac), ● Safari (mac) Il nome LastPass si rifà al motto del servizio “l'ultima password che dovrai ricordare” Informatica 2010-2011 Password LastPass ● ● ● Le password dell'utente sono caricate sul server e conservate come cache già crittografate: solo l'utente con la sua password può accedere. I server non conoscono la password, se perduta le password salvate non sono accessibili da nessuno (garanzia di riservatezza). La password non può essere recuperata, via mail può essere richiesto il suggerimento scelto insieme alla password, ma non la password stessa. Informatica 2010-2011 Password LastPass installazione ● ● Collegarsi al sito lastpass.com, cliccare su “Get lastpass” e scaricare il plugin per il proprio browser. Avviare l'installazione guidata. Informatica 2010-2011 Password Passo 1 Informatica 2010-2011 Password Passo 2 Informatica 2010-2011 Password Passo 3 Informatica 2010-2011 Password Compilazione form ● ● ● Si può impostare LastPass perché autocompleti alcuni form con i dati dell'utente. Il vantaggio è evitare l'operazione ripetitiva di inserirei proprio dati (ed eventuali errori nell'inserimento) Si crea un profilo in LastPass che può essere richiamato in seguito. Tale profilo può essere creato in fase di installazione come mostrato nella prossima immagine Informatica 2010-2011 Password Passo 3: importazione dati Informatica 2010-2011 Password Modifica dei dati per i form Informatica 2010-2011 Password LastPass ● Banner per il salvataggio automatico di nuovi siti (coppia username e password) Informatica 2010-2011 Password LastPass: modifica siti ● È possibile inserire, modificare ed eliminare le credenziali per ogni sito tramite l'interfaccia Web o le funzionalità del plugin. Informatica 2010-2011 Password LastPass: interfaccia Web Informatica 2010-2011 Password Passo 5: compilazione form Informatica 2010-2011 Password Uso di LastPass ● ● ● ● ● Una volta installato ed importati gli eventuali dati si può utilizzare per accedere automaticamente ai siti, copiare le password nella clipboard, visualizzare e condividere le password con altri Creare profili in modo da restringere l'accesso ai siti salvati (ad esempio profilo casa e profilo lavoro con password diverse) Salvare note testuali Il plugin può essere installato su diversi computer ma solo chi conosce la password può accedere Si possono avere più account separati sullo stesso pc Informatica 2010-2011 Password Opzioni di LastPass Informatica 2010-2011 Password Vantaggi di un password manager ● ● ● ● Ricordate I tempi necessari per il cracking di una password? Una password come Elisa90 (7 caratteri) richiede un tempo stimato di 0,03 ore Una come P0Au?1. (7 caratteri) richiede 1887 ore (78,64 giorni) Una generata da LastPass come I*r9omdTFt richiede 1.567.576.296 ore (65.315.679 giorni) Informatica 2010-2011 Password Vantaggi di un password manager ● ● ● ● Il vantaggio di un password manager come LastPass sta quindi nella possibilità di usare password complicatissime senza doverle ricordare. La gestione è sicura (password crittografate e conservate su un server) con rischio di smarrimento pressochè nullo Debolezze: ● L'utente deve scegliere una password sicura ● Mantenerla segreta e non dimenticarla Riguardano solo una password invece di tutte! Informatica 2010-2011 Password
