Apriti, sesamo!

8 giugno 2012 - In: Programmazione, Scienza e Tecnologia - Tag: , 5 Comments

I recenti attacchi a network di primo piano come Linkedin, Last.fm ed eHarmony, hanno portato all’attenzione del grande pubblico il problema delle password di accesso (sebbene nei casi suddetti le password siano stato l’oggetto degli assalti, e non già il mezzo).

L’utilizzo di un’accoppiata di chiavi quali username e password per accedere ad una risorsa protetta è, credo, un’esperienza più che quotidiana ormai praticamente per tutti: posta elettronica, social network, bancomat, home banking, praticamente tutti questi sistemi interpongono tra i vostri preziosi dati riservati e l’oceano di possibili predatori, la classica finestra di login.

Approfittando di questi momenti di difficoltà per simili giganti del panorama telematico globale, m’è venuta voglia di parlare di password da un punto di vista leggermente tecnico, e delle problematiche che nascono dalla necessità di proteggere i dati da accessi non desiderati.

 

I segreti del passato

Un’antica fiaba persiana narra di ‘Ali Baba, un povero legnaio che ha la fortuna di trovare una grotta colma di tesori, appartenenti ad alcuni ladroni; la grotta è protetta da una porta magica, che si apre solo esclamando la frase “افتح يا سمسم” (“Ifta’H ya simsim!“, ossia “Apriti, sesamo!”). ‘Ali carpisce la frase segreta al capo dei ladroni, e riesce a rubare l’oro dalla caverna. Attraverso varie peripezie, riuscirà a sopravvivere ai tentativi dei ladroni di vendicarsi per il furto subito, terminando poi i suoi giorni come uomo ricco e generoso.

In sostanza, un tizio ruba una parola d’ordine valida, e la utilizza per guadagnarsi l’accesso a risorse protette con il fine di impadronirsene e utilizzarle a proprio vantaggio.

Vi ricorda niente?

Un tempo, quando i computer non esistevano, chi doveva tenere al sicuro un tesoro faceva affidamento su stratagemmi più o meno efficaci, ad esempio sulla robustezza di una cassaforte, o sulla difficoltà di raggiungerla fisicamente per poterla poi aprire a colpi di piccone, o ancora sulla particolare raffinatezza della chiave che rendeva arduo riprodurla, se non era possibile rubarla. In genere, si trattava di una combinazione di tutte queste strategie, volte a rendere difficile la vita del ladro di turno. Famose sono in questo senso le tombe degli antichi faraoni egizi, costruite con accorgimenti tali da rendere difficile l’accesso alla camera sepolcrale, spesso infarcita di ricchezze degne, appunto, di un re. E anche nell’antica Roma esistevano serrature particolarmente sofisticate, con chiave a mappa, che i più ricchi utilizzavano per salvaguardare il proprio patrimonio, unitamente all’usanza di assemblare le casseforti proprio dentro la stanza che le avrebbe custodite, facendole più grandi della porta per impedire ad un eventuale ladro di trafugarle con tutto il contenuto. In un mondo dove banche e titoli virtuali non esistevano, il metallo sonante richiedeva sforzi non indifferenti per essere protetto, con alterne fortune.
.
.

Anche le informazioni dovevano essere protette, e trovandosi a quell’epoca a viaggiare tra mittente e destinatario sotto forma di lettere scritte su carta, si escogitarono stratagemmi per occultare i messaggi all’interno di testi leggibili, ma incomprensibili. Ad esempio, le corrispondenze militari in tempo di guerra viaggiavano grazie a corrieri che trasportavano missive cartacee in cui lo scritto veniva opportunamente manipolato dal mittente in modo che solo il destinatario, che era a conoscenza del “come” il testo era stato manipolato, poteva ricostruire il senso esatto del contenuto. In quei casi, la “chiave” era rappresentata non da uno strumento fisico, ma da un “algoritmo” ante litteram, ossia una sorta di “ricetta segreta” che descriveva in che modo alterare il testo per renderlo incomprensibile ad un lettore occasionale (il nemico, ad esempio), ma facilmente ricostruibile dal legittimo destinatario. Questa ricetta, che tecnicamente è definita “cifrario”, doveva essere custodita gelosamente proprio come una chiave di metallo, e tipicamente era assegnata ai militari di rango più elevato come dotazione riservatissima, da difendere con la vita. Giulio Cesare, durante le sue campagne di conquista, fece largo uso proprio di questo sistema per comunicare con i suoi generali, utilizzando un sistema di mascheratura del testo da lui stesso inventato, che prese proprio il nome di cifrario di Cesare, e che rappresenta uno dei più antichi esempi di crittografia di cui abbiamo memoria.

Il cifrario di Cesare era un cosiddetto cifrario a sostituzione, in cui ogni lettera dell’alfabeto veniva sostituita dalla lettera che segue di n posizioni nell’alfabeto. In particolare, Cesare adottava di solito un passo di sostituzione di tre caratteri, quindi la lettera “A” diventava “D”, la lettera “B” diventava “E”, e così via; gli spazi tra le parole non venivano presi in considerazione. Ad esempio, il famoso incipit del De Bello Gallico sarebbe stato cifrato così:

.

Originale: G A L L I A E S T O M N I S D I V I S A I N P A R T E S T R E S
Cifrato:   J D O O L D H V W R P Q L V G L Y L V D L Q S D U W H V W U H V

.

Un nemico che spesso aveva già difficoltà a leggere il latino in chiaro, doveva trovarsi decisamente nel buio più assoluto davanti ad un testo formato da file e file di lettere che non componevano alcuna parola intellegibile.

Il cifrario di Cesare oggi è uno strumento assolutamente primitivo, e quasi ci fa sorridere per la sua semplicità, pur avendo rappresentato un antenato formidabile dei complessi cifrari moderni. Cifrari a sostituzione semplice come quello di Cesare sono stati sconfitti per sempre oltre mille anni fa, grazie agli studi di un grande matematico e scienziato arabo, Abū Yūsuf Yaʿqūb ibn Isḥāq al-Kindī, noto in Occidente come Alchindus.

Le problematiche legate alla protezione di dati importanti sono diventate negli anni sempre più pressanti, e come conseguenza la scienza della crittografia (parola derivante dal greco κρυπτóς, “nascosto”, e γραφία, “scrittura”) ha dovuto compiere progressi enormi già molto tempo prima che l’umanità entrasse nell’era dei calcolatori. Il problema da risolvere era sempre lo stesso: trasmettere un messaggio leggibile solo tra alleati, senza effettuare però alcuna operazione per nascondere la trasmissione stessa: l’intercettazione da parte del nemico, infatti, avrebbe fornito soltanto dati non comprensibili.

 

Un Enigma davvero difficile

In questa breve escursione nell’affascinante mondo della crittografia non potremmo mai tralasciare di accennare alla “guerra parallela” che per anni le intelligence di mezzo mondo combatterono contro i nazisti durante la Seconda Guerra Mondiale, per sconfiggere quell’incredibile apparato che si chiamava, con un’ironia davvero inossidabile, “Enigma”. A questa guerra segreta, sotterranea e, letteralmente, subacquea, presero parte i più geniali cervelli che la scienza umana abbia mai annoverato. Uno su tutti, Alan Turing, passerà alla storia come uno dei padri della moderna informatica, attraverso la sua vita tanto appassionante quanto dolororosa. Tra tutti gli utilizzi della crittografia, Enigma è stato il più noto grazie al fascino delle imprese che portarono alla sua introduzione, prima, e alla sua sconfitta, poi, soprattutto grazie alle mille reinterpretazioni offerte dalla cinematografia e dalla narrativa mondiale che ha colto in questo silenzioso ma fondamentale aspetto della guerra un ricchissimo filone mai finito di sfruttare, a volte con scarsissimo riguardo per il rigore storico e la verità degli eventi.

La macchina Enigma era un apparecchio elettromeccanico cifrante in dotazione alle forze armate tedesche durante la Seconda Guerra Mondiale (in realtà, anche se l’immaginario collettivo associa Enigma esclusivamente ai nazisti, la macchina fu impiegata, in differenti varianti, da diverse nazioni in guerra, compresa l’Italia). Certamente, il suo impiego più famoso fu a bordo dei famigerati U-Boot, i sommergibili e sottomarini della Marina tedesca che giocarono un ruolo di primissimo piano nella “battaglia dell’Atlantico”, conclusa al termine della guerra con la disfatta della Germania. L’Enigma nacque come apparato civile per la cifratura di messaggi; l’inventore, Arthur Scherbius, tentò per lungo tempo di commercializzare la macchina, proponendola anche alle Poste tedesche come sistema per garantire la riservatezza nelle comunicazioni tra imprenditori e uomini d’affari, ma gli elevati costi di produzione e gestione non fecero mai decollare il prodotto.
.
Come per molte vicende umane, fu l’imminente guerra a decretare il successo di Enigma: le gerarchie militari, infatti, trovarono immediatamente in Enigma lo strumento ideale per proteggere le loro comunicazioni, e i relativi costi diventarono immediatamente tollerabili, perché diretti allo sforzo bellico.

La struttura intima e il funzionamento estremamente complesso di Enigma sono argomenti che esulano largamente dalle pretese di questo scritto (se siete interessati, vi rimandiamo alla bibliografia); diremo solo che l’apparato consentiva di operare in maniera bidirezionale, ossia cifrava un messaggio se si inseriva, lettera per lettera, un testo in chiaro, e permetteva di riottenere un testo in chiaro se si inseriva un messaggio cifrato. Questo rendeva possibile la comunicazione tra gli U-Boot in missione nell’oceano e le lontanissime basi militari. Grazie all’estrema robustezza del sistema di cifratura, l’eventualità che il nemico potesse intercettare il messaggio non impensieriva minimamente i nazisti, che per tutta la durata della guerra impiegarono Enigma in tutti i punti chiave del loro apparato militare.

La macchina aveva in dotazione un manuale che descriveva minuziosamente le impostazioni da effettuare sui meccanismi interni in base alla data corrente: mittente e destinatario dovevano operare le medesime impostazioni, per essere certi di potersi scambiare messaggi crittografati correttamente, e correttamente decifrabili. Questo cifrario-calendario fu oggetto di una caccia spietata da parte delle forze alleate, dato che rappresentava la chiave di funzionamento del sistema cifrante, e avrebbe potuto essere (come in effetti fu) un elemento determinante nell’enorme sforzo di decriptazione che mezza Europa stava tentando con lo scopo di spezzare l’invincibilità di Enigma.

La svolta avvenne nel maggio del 1941, quando la Marina inglese riuscì, con una complessa operazione navale segreta, a catturare un U-Boot (esattamente l’U-110): gli uomini che salirono a bordo dell’U-Boot dopo la cattura rimasero esterrefatti nello scoprire che, sicuramente a causa della concitazione del combattimento, l’equipaggio del sottomarino non aveva distrutto come al solito l’Enigma e il suo preziosissimo manuale prima di abbandonare il battello. Gli inglesi tentarono anche di trainare l’U-Boot catturato, ma a causa dei danni prodotti dalle bombe di profondità non fu possibile tenerlo a galla a lungo; gli inglesi rientrarono in porto esibendo le insegne di affondamento (e non di cattura!) di unità navale nemica, e questo contribuì ulteriormente alla copertura della missione. L’operazione, siglata Primerose, venne così tenuta segreta per decenni, e solo negli anni Settanta i dettagli furono rivelati al pubblico. Tutta la vicenda, decisamente affascinante per la portata delle conseguenze sull’intero conflitto mondiale, è magistralmente descritta in “Il codice Enigma”, un affascinante saggio di Hugh Sebag-Montefiore purtroppo oggi abbastanza difficile da trovare (la versione in lingua originale, invece, è facilmente acquistabile, anche in formato ebook; in Italia dobbiamo ancora uscire dall’età delle caverne)…

 

Proteggere le informazioni oggi

La capacità di interpretare i dispacci cifrati dei nazisti, a loro insaputa, permise agli Alleati di prevenire la maggior parte degli attacchi degli U-Boot, ribaltando di fatto gli equilibri della guerra. Anzi, ad un certo punto tale capacità divenne così elevata da creare imbarazzo presso lo stesso Ministero della Guerra, perchè la sistematica anticipazione delle mosse degli U-Boot rischiava di far scoprire ai nazisti il fatto che i nemici erano in grado di decifrare il codice Enigma con elevatissima efficienza.

Da allora, nessuno Stato avrebbe mai più potuto prescindere da un’arma così forte e potenzialmente così letale come la crittografia, e dalla sua arma controffensiva, la criptoanalisi. Anche il Vaticano ha saputo recuperare rapidamente il passo con i tempi, adottando la crittografia per proteggere le comunicazioni tra la Santa Sede e le varie prelature sparse nel globo.

Oggi, la crittografia è entrata nella vita delle persone in maniera così capillare da far veramente parte della vita quodiana di ognuno di noi, anche se pochi lo sanno. Ad esempio, le informazioni che viaggiano dal POS del vostro supermercato preferito alla vostra banca, sono crittografate per garantire la protezione dei dati da utilizzi truffaldini; oppure il telecomando che usate tutti i giorni per aprire le portiere della vostra vettura, utilizza un algoritmo crittografico per inviare gli impulsi radio alla centralina dell’automobile.

Purtroppo, come accade nella realtà, qualsiasi catena è forte al massimo come il più debole dei suoi anelli. Mettere in piedi un sofisticatissimo sistema di salvaguardia delle informazioni, criptandole opportunamente con i migliori algoritmi esistenti, è un’operazione del tutto inutile se la chiave di decifratura viene ingenuamente nascosta sotto la tastiera di un computer (situazione che ho realmente incontrato, nel CED di uno dei più grandi ospedali d’Italia), o se l’accesso ai dati in chiaro non è strettamente limitato al personale necessario.

Scegliere una buona password è essenziale per la salvaguardia dei propri dati. Nel caso della propria casella di posta elettronica, ad esempio, evitare di utilizzare parole chiave come il nome del coniuge, o del cane, o la propria data di nascita, contribuisce a tagliar via tante facilissime vie di accesso ad un potenziale aggressore. Anche la scelta di parole di normale senso compiuto non è una mossa intelligente: con un assalto di forza bruta, un potenziale aggressore impiega pochi istanti per forzare il sistema.

Per spiegare cos’è un assalto di forza bruta, immaginiamo un classico lucchetto a combinazione: tipicamente questo tipo di lucchetti presenta tre piccoli rotori, ognuno dei quali consente di selezionare un numero da 0 a 9. Un lucchetto del genere offre un livello di protezione davvero molto basso; volendo, infatti, si possono provare tutte le combinazioni possibili dei tre rotori, finché ci si imbatte nella combinazione giusta, quella che sblocca il meccanismo. Un simile approccio viene definito assalto di forza bruta, perché non fa uso di alcun sistema o algoritmo “intelligente” per trovare la soluzione, ma testa ciecamente tutte le possibili soluzioni a caccia dell’unica funzionante. Nel caso del nostro lucchetto, le possibili combinazioni sono comprese tra 000 e 999: in totale sono solo mille possibili combinazioni. Ipotizzando di provare appena una combinazione ogni quattro secondi, un potenziale ladro impiegherebbe al massimo quattromila secondi (ossia poco più di un’ora) per scovare la combinazione giusta. Se è fortunato, poi, potrà incappare nella combinazione cercata ben prima di averle provate tutte, impiegando così ancora meno tempo.

Come si vede, il lucchetto a combinazione è al massimo un deterrente per un furto occasionale, di quelli compiuti al volo. Contro un’aggressione sistematica, però, questo tipo di lucchetto crolla miseramente, anche se è costruito con l’acciaio più forte del pianeta.

Le strategie possibili per migliorare la resistenza del nostro lucchetto a questo tipo di assalto sono diverse: possiamo aumentare il numero di rotori, aumentando così il numero di combinazioni; possiamo aumentare il numero di posizioni per ogni rotore, inserendo ad esempio le lettere oltre ai numeri. Infine, possiamo adottare tutte e due le nuove soluzioni, aumentando in maniera significativa le combinazioni totali, fino a farle arrivare a quantità davvero elevate. Lavorando a mano sul lucchetto, si finirebbe per impiegare ore, giorni, forse settimane, prima di incappare nella combinazione giusta. Tuttavia, questo sistema ha dei punti deboli intrinseci che possono essere sfruttati per migliorare l’assalto di forza bruta, applicando un pizzico di “intelligenza”: se le posizioni dei rotori consentono adesso di formare sequenze di lettere e numeri, potrebbe essere possibile formare sequenze di senso compiuto, ossia parole e numeri. In tal caso, se io volessi forzare questo nuovo lucchetto, potrei avere fortuna tentando di formare parole e numeri, prima di tentare combinazioni assolutamente casuali. E’ possibile, ad esempio, che il proprietario del lucchetto abbia scelto una combinazione facile da ricordare, come il nome della propria moglie seguito dalla data di matrimonio.

Paradossalmente, un’aumentata complessità del sistema finisce per essere un punto debole, invece che un punto di forza…

Un simile assalto di forza bruta, “migliorato” dall’uso di parole e numeri, è detto assalto di forza bruta basato su dizionario, ed è un tipo di approccio leggermente più efficace (quando è applicabile) perché effettivamente le persone non ragionano come macchine, ma preferiscono scegliere sequenze di caratteri che abbiano un senso compiuto piuttosto che sequenze casuali, difficili da immaginare e ancora più difficili da ricordare.

Una rapida indagine sulla vita del proprietario del lucchetto ci potrà rivelare tantissimi dettagli utili per affinare la nostra caccia alla combinazione giusta; ad esempio, il nome del cane, l’indirizzo dell’abitazione, la squadra del cuore, ecc. ecc. Conoscendone la professione si potrebbe includere un dizionario contenente tutti i termini tecnici. E così via…

Trasferendo nell’universo informatico questo concetto, riusciamo ad avere una prima, valida risposta alla domanda: come devo comporre la mia password affinché sia sufficientemente robusta?

Come abbiamo visto, l’esempio del lucchetto a combinazione ci fornisce alcuni indizi, semplici ma utilissimi: la combinazione deve essere lunga abbastanza, e complessa abbastanza, da rappresentare un problema almeno per il più semplice tentativo di assalto possibile, ossia l’assalto di forza bruta. Deve anche essere priva di sensi compiuti, per evitare che assalti basati su dizionario abbiano successo in pochi tentativi. Con questi concetti, possiamo quindi formulare alcune linee guida per la costruzione della nostra password; in particolare possiamo stabilire che una buona password è formata da una sequenza di caratteri alfanumerici che:

  • non formi alcuna parola di senso compiuto, in nessuna lingua (no, neanche il klingon o il quenya vanno bene);
  • non formi alcuna sequenza “stupida” (ad esempio: 12345678), oppure nota (come una serie di Fibonacci; farete la figura delle persone colte, ma il risultato sarà sempre una password facilissima da scovare);
  • non sia mai più breve di otto caratteri;
  • non contenga solo lettere, ma anche numeri e segni di interpunzione; e per farla ancora più complessa, utilizzi sia lettere maiuscole che minuscole.

Password come

  • sRf4,Jy3
  • 197R.!!a

sono difficili da ricordare, è vero, ma sono anche password molto robuste, perché possono essere aggredite da assalti di forza bruta, ma richiedono statisticamente moltissimo tempo per essere risolte, e non offrono alcun appiglio per assalti basati su dizionari. In questo modo, più che una password avremo generato una chiave crittografica vera e propria.

Le password sopra indicate sono state generate attingendo ad uno “spazio” formato da:

  • 26 caratteri alfabetici minuscoli (dalla a alla z);
  • 26 caratteri alfabetici maiuscoli (dalla A alla Z);
  • 10 caratteri numerici (da 0 a 9);
  • 33 caratteri simbolici (virgola, punto esclamativo, parentesi tonde, ecc. ecc.)

In totale, uno spazio di 95 possibili caratteri, dal quale abbiamo scelto i nostri otto caratteri per formare una password.

Di tutte le caratteristiche sopra indicate, la lunghezza della password è sicuramente l’elemento più importante: più una password è lunga, maggiore è la sua robustezza. La lunghezza, in pratica, conta più della complessità. Di conseguenza, considerando la prima password proposta sopra (che indichiamo in rosso nell’esempio seguente), avremo che:

  • sRf4,Jy3aaa

è di gran lunga più sicura di

  • sRf4,Jy3

anche se alla prima sono state aggiunte semplicemente tre lettere “a” minuscole, quindi scegliendo un solo carattere di 95 possibili. Ma quanto è più sicura la prima password della seconda?

In un ipotetico scenario di assalto in cui un computer aggressore tenta cento miliardi di combinazioni al secondo, ecco cosa succede per le due password di prova che stiamo considerando:

 

Password Lunghezza Combinazioni possibili Tempo di analisi
sRf4,Jy3 8 6.70 x 1015 18.62 ore
sRf4,Jy3aaa 11 5.75 x 1021 18.28 secoli

Fonte: Gibson Research Corp. – © by Steve Gibson 2012 – www.grc.com

 

L’incremento del tempo necessario per l’analisi completa di tutte le possibili combinazioni, semplicemente aggiungendo tre caratteri identici alla password, è a dir poco spaventoso!

Tutto questo ovviamente ha un senso se il sistema che conserva i vostri preziosi dati è stato progettato con la dovuta cura. Sì, perché una password veramente robusta è completamente inutile, se vi trovate ad usarla con un sistema costruito da un programmatore disattento e inaccurato, proprio come una serratura di primissima qualità è del tutto sprecata se applicata ad una porta di cartapesta. Le qualità che deve avere un sistema informatico per poter garantire la dovuta sicurezza saranno oggetto di un prossimo articolo, nel quale ci addentreremo un po’ più in profondità nei concetti informatici coinvolti.

Per tornare all’argomento con cui abbiamo aperto questo articolo, il furto delle password (nota) ai danni di un sistema così in vista come Linkedin ha un significato tutto simbolico; vuol dire “Ehi, siamo riusciti ad entrare in casa vostra, e vi abbiamo rubato il sistema antifurto“. Il danno in sé può avere costi assai limitati, ma è ciò che il gesto rappresenta a produrre effetti gravissimi in termini di reputazione e affidabilità (e con milioni di dollari di investimenti dietro le quinte, le ripercussioni rischiano di diventare devastanti). Il gesto, altamente sprezzante, di pubblicare le password rubate rivela la scarsa qualità del lavoro di messa in sicurezza di un network così grande, con milioni di utenti in tutto il mondo. Sicuramente chi ha aggredito il sistema di Linkedin non è passato attraverso la forzatura di una password, esattamente come un ladro che sceglie di passare dalla finestra, trascurando del tutto la corazzatissima porta principale. In pratica, assalti del genere vengono condotti contro punti deboli dell’infrastruttura informatica, non certo scovando la password di un amministratore di sistema. Il problema deve essere affrontato a livello strutturale, chiudendo le falle che hanno permesso l’incursione; in questo senso, scegliere password adeguate è una soluzione, lato utente, ben poco significativa.

 

Conclusioni

La scelta di una password di qualità è un’operazione che tutti dovremmo effettuare, fermandoci un momento a pensare prima di inserire parole come il nostro cognome, o ancora peggio, “pippo” (un classico intramontabile). Adottare password generate casualmente da un pool esteso di caratteri è sempre remunerativo in termini di sicurezza, perché la password risulterà difficilmente attaccabile ed espleterà al meglio il suo incarico, proteggere i vostri dati. Tutto questo ha però un costo; nel nostro caso, la difficoltà nel memorizzare una password così complessa e lontana da qualsiasi parola di senso compiuto. Nella pratica, è possibile scegliere una via di mezzo tra robustezza e semplicità di una password, soprattutto tenendo conto di cosa si vuole proteggere: la casella email che usiamo nel tempo libero, o il conto bancario online con dentro i risparmi di tutta una vita? Come sempre succede, non esiste LA soluzione ideale; piuttosto esiste la soluzione più adatta ad un determinato contesto. Sta a noi riuscire a capire come bilanciare vantaggi e costi.

Per dovere di cronaca, segnaliamo che esistono oggi applicazioni in grado di gestire per voi le varie password: sono i cosiddetti password manager, e ne esistono sia in versione offline che online; i primi hanno un’impostazione tradizionale, si installano sul proprio computer e consentono di registrare tutte le nostre password in un database criptato; i secondi sono dei veri e propri servizi online (oggi è di moda definirli cloud service), spesso a pagamento per utilizzi professionali. Tra i più diffusi e sicuri citiamo:

  • PassPack (online)
  • KeePass (offline)
  • LastPass (online)
  • Walletx (ibrido online/offline)

Tutti questi sistemi permettono di salvare le vostre password in un unico ambiente, protetto da un’unica master password (o una master passphrase per i sistemi più sofisticati come PassPack). Le informazioni sono sempre cifrate con un algoritmo non reversibile, il che significa massima sicurezza in caso di furto di informazioni, ma anche totale impossibilità di recuperare i dati se perdete la vostra master password.

I due sistemi, offline e online, hanno entrambi vantaggi e svantaggi: i sistemi offline ad esempio non vi fanno affidare a terzi, situati chissà dove nel mondo, i vostri preziosi dati personali che rimangono invece dentro la vostra casa, custoditi nel vostro computer personale. C’è infatti chi ha il dubbio (non del tutto infondato) che un sistema online possa scomparire dalla rete da un giorno all’altro, lasciando gli utenti letteralmente in mezzo ad una strada. D’altra parte, è altrettanto possibile che il vostro computer personale venga sottratto da un ladro, o che subisca un guasto (non è raro); in tal caso, se non abbiamo previsto un backup periodico dei dati, saremmo ugualmente nei guai. Backup periodici e ridondanza degli apparati sono, invece, caratteristiche offerte da praticamente tutti i sistemi online.

Forse, come spesso accade, in medio stat virtus: i sistemi ibridi online/offline conservano sempre una copia dei dati nel vostro computer locale (smartphone, tablet, portatile, desktop domestico), in modo da rendervi sempre possibile l’accesso alle informazioni, ed mantengono una copia sincronizzata su un server remoto, in modo da avere sempre un backup disponibile in casi di emergenza (smarrimento del tablet, guasti, ecc.). In entrambi i casi, i dati sono criptati con un algoritmo irreversibile.

A voi decidere quale sistema adottare, facendo un bilancio tra vantaggi e svantaggi per individuare la soluzione per voi più utile.

 

 

 

_______________________________________
Nota: Per la precisione, non sono state pubblicate le password in chiaro, ma i relativi digest di hashing SHA1, ossia le stringhe alfanumeriche crittografiche che provengono dalla codifica di ciascuna password con l’algoritmo SHA1.

 

 

Bibliografia

Questo articolo rappresenta soltanto un excursus breve e largamente incompleto nell’affascinante  e complesso universo della crittografia e della protezione dei dati. Se desiderate approfondire alcuni aspetti in particolare, mi permetto di consigliare alcuni testi che, per accuratezza scientifica o qualità divulgativa, potranno sicuramente fornire valide risposte alla vostra curiosità.

 

  • La guerra dei codici. Spie e linguaggi cifrati nella seconda guerra mondiale
    di Stephen Budiansky
    Ed. Garzanti (Gli Elefanti) – ISBN 9788811680246
  • Codici & Segreti
    di Simon Singh
    Ed. Rizzoli (BUR) – ISBN 8817125393
  • Il codice Enigma
    di Hugh Sebag-Montefiore
    Ed. Il Saggiatore (Collana Nuovi Saggi) – ISBN 9788842809326
  • Colossus
    di Jack Copeland, Thomas Flowers, et al.
    Ed. Oxford University Press (Popular Science Series) – ISBN 0-19-957814-X
  • Segreti, spie, codici cifrati
    di Corrado Giustozzi, Andrea Monti e Enrico Zimuel
    Ed. Apogeo (Collana Cultura Digitale) – ISBN 8873034837
 

Questo articolo è distribuito sotto licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate - 3.0 Unported (CC BY-NC-ND 3.0). Per utilizzi di questo testo al di fuori della licenza Creative Commons, è necessario contattare l'autore per richiedere il consenso esplicito scritto.




5 Responses to “Apriti, sesamo!”

  1. Daniele scrive:

    Davvero interessante! Ora mi preparo una tabella per capire quali password cambiare, come cambiarle e come gestirle. Darò un'occhiata a quelle applicazioni, anche.

  2. Walter scrive:

    Impressionante! Non sono sicuro di aver capito la parte più "tecnica", però la parte storica è davvero interessante. Non sapevo niente né del cifrario di Cesare, né di Enigma… Ed ho capito una cosa importantissima : devo cambiare tutte le mie password! Grazie mille :)

    • DeepVoid scrive:

      Ciao Walter! E' sorprendente che tu non sapessi niente di Enigma, è stato davvero un apparato centrale nel dipanarsi della Seconda Guerra Mondiale. Se hai voglia, leggi uno dei libri che ho indicato in bibliografia, credo che costruire una memoria storica dei fatti che sono accaduti in un momento così grave nell'esistenza della civilità moderna sia un vero e proprio dovere, soprattutto tra i più giovani.

      Per quanto riguarda il tema dell'articolo, sto preparando la seconda parte che sarà dedicata agli aspetti più tecnici della gestione delle password nei sistemi informatici. Non chiedermi quando sarà pronto, devo fare i conti con la mia monumentale pigrizia…

  3. […] Vorrei segnalare un bellissimo articolo di DeepVoid che racconta la storia dell’esigenza di proteggere i propri dati tramite crittografia, veramente ben scritto e molto comprensibile anche dai non-tecnici: http://www.deepvoid.it/apriti-sesamo/ […]

Leave a Reply

You must be logged in to post a comment.