Social Media Web & Smart Apps

  • Published on
    22-Jan-2018

  • View
    464

  • Download
    2

Embed Size (px)

Transcript

<ul><li><p>Passwords in the Modern </p><p>Era</p><p>Francesco GeminFederico LonghinVladymir Tarquini</p></li><li><p>Cos una Password?</p><p>Una password una stringa pi o meno lunga di caratteri usata per verificare lidentitdi un utente.</p><p>Utilizzate fin dai tempi antichi e conosciute da pochi furono lo strumento predilettoper restringere laccesso a determinati luoghi da parte di coloro la cui presenza non eragradita.</p><p>Nellera moderna sono solite essere accoppiate con un username univoco o unindirizzo di posta elettronica.</p></li><li><p>CrittografiaSicurezza Garantita</p></li><li><p>La tua Password protetta?</p><p>La pratica e lo studio di tecniche per la messa in sicurezza di una comunicazione inpresenza di terze parti avversarie detta crittografia.</p><p>Questa scienza basata su teoremi matematici era in passato usata per convertireuninformazione da pubblica a privata rendendola illeggibile ai pi.</p><p>Viene oggi pesantemente basata su pratiche informatiche per cui gli algoritmidivengono altamente difficili da infrangere da parte di un avversario.</p></li><li><p>Algoritmi e Password?</p><p>Attraverso gli algoritmi di crittografia si garantisce la confidenzialit dei dati elindividualit dellutente.</p><p>La maggior parte degli algoritmi in questione non reversibile, bens, per controllarela propria identit si utilizzano meccanismi di hashing attraverso i quali possibileconfrontare due stringhe crittografate, se uguali, si lutente che si dice di essere.</p></li><li><p>Una Password quindi sempre sicura?</p><p>Se gli algoritmi di crittografia ci garantiscono la sicurezza che la nostra password siaprotetta, qualsiasi combinazione di caratteri usata pu considerarsi corretta.</p><p>Esistono per delle regole che la maggior parte dei provider impone ai propri utentidurante il processo di creazione di un account e la conseguente immissione dellapassword nel terminale di registrazione.</p><p>Perch? Beh Lutente medio, la maggior parte delle volte per ignoranza, riponetroppa fiducia in questi algoritmi.</p></li><li><p>Password &amp; </p><p>Regole </p></li><li><p>Regole comuni</p><p>Sempre pi spesso, ogni qualvolta si desideri registrare un account viene richiesto diseguire delle regole molto restrittive quando si inizia a digitare la propria password.</p><p>Questa pratica porta, solitamente, alla frustrazione dellutente stesso che cercher diaggirare il blocco attraverso stratagemmi controproducenti alla sua sicurezza.</p></li><li><p>Unicode Horrors</p><p>Questa password di quattro caratteri: In un terminale unicode risulta: ********</p><p>Questa password di otto caratteri: In un terminale unicode risulta: ********</p><p>Possiamo notare come una password relativamente semplice pu essereconsiderata dal sistema come complessa e quindi accettabile. In un mondo diviso traunicode ed emoji, regole che controllano: uppercase, lowercase, presenza di numeri epresenza di simboli divengono inutili.</p></li><li><p>Lunghezza != Sicurezza</p><p>Questa tipologia di regole porta anche alla disinformazione digitale, lutente medio,andr a legare intrinsecamente il concetto di lunghezza con il concetto di sicurezza.</p><p>Come possibile osservare dallesempio, password lunghe non sono sempre sicure,bens, possono diventare anche le pi insicure possibili.</p></li><li><p>Password Horrors</p><p>Si pu denotare linefficacia delle regole tuttora presenti nei terminali di registrazionedalla lista delle 25 password pi utilizzate nel 2016.</p><p>Queste password potrebbero essere tutte rimosse sottoponendole ad un controllo dellalunghezza per un totale di caratteri superiore a 10, ma nulla impedirebbe allutente dicopiare la medesima password due volte, facilmente superando questa regola.</p></li><li><p>Conclusioni</p><p>1. Le regole per le password sono troppo complesse e controproducenti.</p><p>2. E necessario creare una regola completamente unicode la cui lunghezza superiquella delle password pi comuni.</p><p>3. E necessario controllare la presenza nella stringa delle password pi comuni.</p><p>4. E necessario un controllo di entropia di base per evitare password comeaaaaaaaaaaaaaaaaaaa o 0123456789012345689.</p><p>5. E necessario controllare la presenza nella stringa di casistiche particolari, comeuna password uguale al proprio nome utente o allindirizzo del sito.</p></li><li><p>Password</p><p>Vault</p></li><li><p>Applicativi in aiuto della memoria</p><p>Nonostante sia lopzione consigliata, tenere a mente svariate password differenti ecomplesse per ogni portale a cui si iscritti pu diventare estremamente difficile.</p><p>In aiuto dellutente sono stati creati vari applicativi per la memorizzazione delle chiaviattraverso algoritmi di crittografia, in modo da garantire la privacy allinterno deldevice prescelto.</p><p>La scelta di un applicativo rispetto ad un file TXT o simili necessaria, in quanto, nelcaso in cui si vada a perdere il supporto fisico sul quale si deciso di tenere tracciadelle proprie chiavi di sicurezza, se il ladro non conosce la Master Password non hamodo di accedere ai dati presenti al suo interno.</p></li><li><p>Dashlane</p><p>Disponibile per i sistemi operativi di maggioranza, Dashlane un software Freemiumche permette il salvataggio di password.</p><p>Funzionalit Caratteristiche</p><p>Autocompilazione</p><p>Avvisi di sicurezza immediati</p><p>Refresh automatico delle password</p><p>Master password</p><p>Integrazione con Google Authenticator</p><p>Algoritmo di cifratura pubblico</p></li><li><p>1Password</p><p>Disponibile per i sistemi operativi di maggioranza, 1Password un software Freemiumche permette il salvataggio di password.</p><p>Funzionalit Caratteristiche</p><p>Autocompilazione</p><p>Estensione per browser</p><p>Utilizzo di WebCrypto</p><p>Master password</p><p>Backup su Cloud</p><p>Algoritmo di cifratura pubblico</p></li><li><p>KeePass</p><p>Disponibile per i sistemi operativi di maggioranza, Keepass un software Open Sourceche permette il salvataggio di password.</p><p>Funzionalit Caratteristiche</p><p>Database facilmente importabili ed esportabili in vari formati</p><p>Presenza di plugin aggiuntivi</p><p>Open Source</p><p>Molteplici master password</p><p>Generatore di password</p><p>Algoritmo di cifratura pubblico</p></li><li><p>Mantenersi Protetti</p></li><li><p>Verifica in Due</p><p>PassaggiUna Sicurezza Ulteriore</p></li><li><p>Cos?</p><p>La verifica in due passaggi un metodo di autenticazione che si basa sullutilizzocongiunto di due metodi di autenticazione individuale.</p><p>Alla fase di login viene richiesto il proprio nome utente, la propria password e unulteriore chiave, solitamente sotto forma di codice numerico, fornita da un dispositivofisico di varia natura in possesso dellutente.</p></li><li><p>Perch esiste e a cosa serve?</p></li><li><p>SondaggioSurvey Results</p><p>https://goo.gl/G0ZvWI</p></li><li><p>Obiettivo del Sondaggio</p><p>Lobiettivo del sondaggio in questione era quello di capire quanto gli utenti al giornodoggi fossero informati sulle buone pratiche per mantenere una password sicura equanto le mettessero in pratica.</p><p>Dai risultati, visibili online, emerso che la maggior parte dellutenza cambia leproprie password raramente o mai non facendo uso di un software per la loromemorizzazione.</p><p>E stato ulteriormente individuato che l85% conosca informazioni a riguardo i criteridi complessit delle password e la maggior parte di loro daccordo che siano utili.</p></li><li><p>Fortuna o crittografia?</p><p>Nonostante la maggior parte dei risultati porti ad una visione disfattista della sicurezzadegli utenti che hanno risposto al sondaggio, solo il 25% ha subito un furto di accounte tutti sono riusciti a recuperare la propria password con successo in caso dismarrimento.</p><p>Questo porta a dedurre lefficienza degli algoritmi di crittografia utilizzati nel mondomoderno e la semplicit con cui possibile recuperare la propria password se smarrita.</p><p>La maggior parte degli utenti conosce lesistenza della verifica in due passaggi, lautilizza, ma solo in casi specifici, probabilmente in siti in cui le informazioni immessesono pi sensibili, come numeri di carte di credito.</p></li><li><p>Bibliografia</p><p>Coding Horrors - Password Rules are Bullshit</p><p>Keeper - What the Most Common Passwords of 2016 List Reveals</p><p>Google - Verifica in Due Passaggi</p><p>Cisco - Uso delle Password</p><p>Dashlane | 1Password | KeePass</p><p>https://blog.codinghorror.com/password-rules-are-bullshit/https://blog.keepersecurity.com/2017/01/13/most-common-passwords-of-2016-research-study/https://www.google.com/intl/it/landing/2step/http://www.cisco.com/c/it_it/about/news/2015-archive/20150507.htmlhttps://www.dashlane.com/https://1password.com/http://keepass.info/</p></li></ul>