Per questo Natale….? Regalati una nuova password!

Per questo Natale….? Regalati una nuova password!
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Normalmente cerchiamo di proteggere le cose per noi più preziose, da qui la proliferazione di diverse serrature e chiavi per le nostre auto, case, ecc.

Queste chiavi nel mondo materiale sono analoghe alle password in quello digitale. Tuttavia, qualsiasi utente di servizi informatici avrà probabilmente molte più password per dispositivi e servizi utilizzati rispetto a qualsiasi altro insieme di chiavi e serrature reali.

Recentemente abbiamo scritto del malware Quant, che aveva il compito di di rubare password pre-confezionate. Comprendiamo tutti che la sicurezza fisica è importante, scegliamo attentamente le nostre serrature e conserviamo consapevolmente le nostre chiavi dove crediamo possano essere al sicuro dall’essere sottratte, ma rispettiamo gli stessi standard per le nostre password?

Probabilmente no…

Esempi di credenziali rubate

Quando lavoravamo con i dati raccolti dai vari server di Quant Loader C2, abbiamo anche convalidato alcune delle nostre ipotesi sulla sicurezza media delle password. Come previsto, la maggioranza delle password non erano tra le più sicure e si avevano dei veri e propri esempi lampanti.

Un portachiavi digitale

Sfortunatamente, come si può vedere dagli esempi sopra, l’intangibilità delle password spesso porta le persone a preoccuparsi meno di queste ultime rispetto a qualcosa di fisico.

Condivisione volontaria delle password a parte, atteggiamento già di per sè piuttosto rischioso, le persone non sono generalmente disposte a ricordare un paio di dozzine di password e codici PIN diversi e tendono ad affidarsi al software affinchè ricordi le cose per loro.

Esiste una serie di applicazioni che fungono da “casseforti virtuali” per conservare le nostre password e tenerle lontane da occhi indiscreti. L’adozione di questi servizi non rientra negli obiettivi di questo blog, ma anche i moderni browser Web possono essere considerati come “custodi di password” di livello base e sono spesso presi di mira da malware con il preciso scopo di rubare credenziali o dati.

Post-IT, file di testo e crittografia

Prima di dare un’occhiata a come alcuni tra i browser più popolari conservano le password, consideriamo come queste dovrebbero essere memorizzate.

Speriamo che tutti i lettori di questo blog siano consapevoli di non dover mai scrivere le password su Post-IT ma, potenzialmente, poche persone si soffermano a lungo su come le loro password sono archiviate elettronicamente. Analogamente alla differenza di percezione tra una chiave fisica ed una password, è spesso facile dimenticare che il salvataggio di una password corrisponde, in fin dei conti, a scriverla elettronicamente è da qualche parte.

Il testo in chiaro non ha bisogno di ulteriori spiegazioni: è effettivamente l’equivalente elettronico di un Post-IT: chiunque abbia accesso al file può leggere la nostra password con assoluta facilità.

Le password sono, quindi, generalmente cifrate unidirezionalmente. Cifrare una password in modo unidirezionale significa che il valore memorizzato è l’output di una trasformazione che non può essere invertita: quando qualcosa, come una funzione di accesso ad un portale, deve verificare la password, esso cifra il valore inserito e lo confronta con la cifratura del valore memorizzato, annullando così le necessità per l’archiviazione essere reversibile.

Sfortunatamente, recuperare una password della quale è disponibile solo una cifratura non è sempre così difficile. Dato che la cifratura (che si tratti di MD5, SHA1, SHA256, ecc.) di un dato segmento di testo sarà sempre la stessa, è possibile ricostruire le password comuni molto facilmente – esistono per questo scopo tabelle di cifratura note per le password più comuni. Questo è, almeno in parte, il motivo per cui viene sconsigliato di usare password lampanti come “abracadabra” e “apritisesamo”.

L’archiviazione in locale e sicura deve prevedere quindi una serie di passaggi aggiuntivi come salts e peppers (dati casuali inseriti prima della cifratura unidirezionale per contrastare gli attacchi basati sui dizionari), con livelli aggiuntivi di protezione (come la crittografia asimmetrica a chiave pubblica / privata) per tutte le password in transito.

Implementazioni del browser

Quindi quanto è difficile rubare le password da un browser? Abbiamo esaminato Firefox e Chrome, due dei più popolari browser del 2017, che forniscono soluzioni semplici per il salvataggio delle password per i siti interni ed esterni.

Firefox

A meno che un sito venga aggiunto all’elenco delle eccezioni, Firefox chiederà se vogliamo che salvi le password per un determinato sito web. Se decidiamo di salvare la nostra password, i dati verranno archiviati in un file criptato, denominato “logins.json”, all’interno del nostro profilo utente. Sfortunatamente, la chiave di cifratura viene memorizzata in un file separato, chiamato “key3.db”, mantenuto nella stessa directory.

Detto questo, c’è la possibilità aggiuntiva di cifrare ulteriormente le password salvate fornendo una password principale. Ciò si traduce in una nuova finestra popup che richiede la nostra chiave master la prima volta che un utente desidera utilizzare una password salvata; fatto questo, non ci sarà un’altra richiesta di master password all’interno della stessa sessione fino al riavvio del browser.

Supponendo che venga scelta una password master molto sicura, qualsiasi aspirante ladro avrà bisogno di entrambi i file di dati e di scoprire la password principale per recuperare le credenziali salvate.

NOTA: Entrambi gli esempi nelle schermate seguenti sono per un account fittizio creato a scopo di test.

Chrome

L’implementazione di gestione password di Chrome è molto simile a quanto proposto da Firefox, con una piccola eccezione: per impostazione predefinita manca una funzione di password principale incorporata. Pertanto, se Chrome è il browser scelto e si desidera salvare le password all’interno del browser, si consigliamo vivamente di scaricare un plug-in che offra funzionalità simili.

Chrome utilizzava le funzionalità di sicurezza fornite dal sistema operativo, tuttavia, in un ambiente Windows predefinito, le password sono ora memorizzate in unfile di database SQLite chiamato ” Login Data “. In modo analogo a quanto avviene con Firefox, gli autori di attacchi in grado di avere accesso locale saranno in grado di ottenere le chiavi di cifratura aggiuntive per decifrare il contenuto del database “Login Data “.

Raccomandazioni: comodità vs sicurezza

Ci sarà sempre un compromesso tra comodità e sicurezza: vogliamo accedere ai nostri servizi preferiti con pochi clic, ma la realtà è che abbiamo bisogno di sicurezza per avere fiducia in questi servizi.

Quindi, cosa dovremmo fare? Come osservato in precedenza, esistono numerosi strumenti di gestione delle credenziali di terze parti rivolti sia ai consumatori che alle aziende, la cui idoneità è al di fuori dello scopo di questo blog.

In alternativa, scegliendo attentamente le nostre password, possiamo assicurarci che siano memorizzabili e sicure. Molte persone hanno già familiarità con il concetto di passphrase come:

MyDog’sNameIsRuffles

Questa password ha 114 bit di entropia (come stimato da KeePass). Anche se queste sono tutte parole del dizionario, inserendone diverse insieme un possibile attacco è reso molto più lungo e si riduce la possibilità che qualcun altro abbia già usato la stessa combinazione (cioè la probabilità cha cifratura appaia in una tabella già pubblicata da qualche parte).

Per confronto, la seguente password ha solo 50 bit di entropia:

S7ng0pl!

Migliorando ulteriormente, ci sono aspetti statici di siti web e servizi – come l’URL, il titolo o il dominio – che potrebbero agire come un “salt” manuale ma memorizzabile per le nostre password esistenti. Scegliere o generare una password o passphrase forte e arricchirla con una correzione pre o post può comportare password diverse per ogni sito, ma ti assicura che ricordarle sia abbastanza semplice e non richieda un salvataggio extra.

Con l’extra ‘salt’ alla fine, questa password ora ha 167 bit di entropia:

MyDog’sNameIsRuffles$4PhotoStorage

Infine, ricorda che le credenziali possono essere rubate anche con altri mezzi. Combinare una password complessa con l’autenticazione a due fattori (2FA) può effettivamente essere in grado di fermare un attacco: anche se un attaccante riesce ad acquisire la password, non avrà il secondo fattore da inserire per l’accecsso all’account.

Sfortunatamente, molti siti Web non hanno ancora offerto la modalità 2FA e, peggio ancora, hanno spesso una politica di password debole: ti fideresti davvero di qualcuno che accetta “12345678” come password o nega “MyDog’sNameIsRuffles” a causa del contenimento di un carattere speciale? Sta a noi assicurarci di avere una password sicura, ma potrebbe essere giunto il momento di prendere in considerazione la possibilità di rifiutare servizi che non supportano questa esigenza.

Conclusione: perché tutto ciò è importante

In breve: perché le password sono le proverbiali “chiavi del regno” per la maggior parte delle persone.

Nel 2017 il NIST ha aggiornato le proprie linee guida sulle password sconsigliando l’adozione di password draconiane; queste password, infatti, servono a poco per combattere il furto di credenziali e possono, nel peggiore dei casi, indurre gli utenti a memorizzare in modo insicuro le loro password difficili da ricordare.

Per gli utenti privati, i dati protetti da password possono riguardare qualsiasi tipologia di dato, dalle foto delle vacanze a dati personali sensibili che potrebbero potenzialmente esporli a ricatti o frodi finanziarie. Per gli utenti aziendali esistono gli stessi problemi ma con la preoccupazione aggiuntiva che il furto di credenziali è un modo comune, per i ladri proprietà intellettuale, di impersonare gli utenti autorizzati.

Mentre soluzioni come Forcepoint UEBA possono essere utilizzate per identificare modelli di comportamento insoliti associati a credenziali rubate, la prevenzione è sempre stata e sempre sarà preferibile al rilevamento a posteriori.

Gli attaccanti continueranno a concentrarsi sul fattore umano riguardante l’interazione con i sistemi e finché l’adozione di password deboli – in termini di scelta delle password stesse, archiviazione e policy – cesseranno di essere una linea di attacco facile, rimarranno un obiettivo primario.

Può essere facile guardare alla miriade di modi in cui avviene il furto di credenziali e trovarsi piuttosto rassegnati, ma è assolutamente possibile fare la differenza: dopo tutto, se la cassaforte contiene solo un pezzo di carta vuoto, che senso aveva rubarlo?


  •  
  •  
  •  
  •  
  •  
  •  
  •  
Categorie: Sicurezza