Il mese scorso ho affermato di essere stato coinvolto in un'indagine durata un anno sull'implementazione e la gestione della sicurezza delle piccole imprese. Intervistando il personale delle piccole imprese e offrendo come incentivo un controllo gratuito sulla sicurezza delle password, ho compilato un sondaggio che ha coinvolto 504 persone in 114 aziende. L’indagine non darà notti insonni a Forrester o Gartner, ma è comunque un campione valido dal segmento più piccolo del settore delle PMI. L'indagine nella sua interezza deve rimanere confidenziale; è la fase di ricerca di un progetto commerciale che sto portando avanti per un cliente. Tuttavia, sono libero di discutere i risultati sulla sicurezza delle password e rivelano una situazione piuttosto preoccupante.
La mia prima domanda era: quante password lavorative l'intervistato doveva ricordare regolarmente? Solo il 12% ne aveva meno di sei, con il 29% che dichiarava tra i sei e i 12 anni, e uno sbalorditivo 53% che lottava con un numero compreso tra 13 e 25: solo il 6% ne aveva più di 25. Il numero medio di password pro capite è stato di 16 e il 72% di loro ha ammesso di averne dimenticata almeno una nella settimana precedente. Ciò che mi ha sorpreso, e non mi lascia facilmente spiazzare dopo 15 anni nel mercato delle PMI, è stato il fatto che il 48% degli amministratori IT intervistati aveva dimenticato anche una password di lavoro. Naturalmente, con un’azienda di queste dimensioni (meno di quattro dipendenti in media), un “amministratore IT” è meno probabile essere un professionista qualificato e con maggiori probabilità essere la persona all'interno dell'azienda con un interesse in computer.
Se tutte queste persone dimenticassero le loro password, quale sarebbe stata la strategia di gestione per ricordarle? Lo avete indovinato: il 64% degli utenti finali e il 73% degli amministratori IT ritengono che annotare le proprie password sia l'unica soluzione. Tuttavia, il 22% degli utenti finali e il 78% degli amministratori IT che hanno annotato le password hanno utilizzato alcuni promemoria derivati anziché l'intero password, il che riduce il rischio, ma solo marginalmente, poiché di solito sono facili da capire se si sa qualcosa della persona (e spesso anche se tu no).
Camminare nei panni degli hacker
Per comprendere veramente il problema della sicurezza delle password, è necessario apprezzare meno la mentalità delle persone che vogliono risolverlo, ma piuttosto gli strumenti e le metodologie che utilizzano. È difficile leggere la mente di ogni possibile cracker, poiché esistono troppe varietà, ma non così gli strumenti del loro mestiere.
Ci sono solo due metodi che vale la pena studiare, perché sono i più diffusi: il software e l’ingegneria sociale. L0phtCrack è facile da usare e abbastanza facile da trovare se abiti nel mondo online della comunità hack-and-crack (piuttosto che quella commerciale di Symantec, che ha acquistato il prodotto e ne ha limitato la distribuzione a Stati Uniti e Canada soltanto). Sebbene fosse lo strumento preferito dagli hacker, i tempi cambiano e gli strumenti maturano. L0phtCrack è facile da usare grazie alla sua GUI, e alcuni potrebbero credere che la sua capacità di elaborare un dizionario di 30.000 parole in un secondo (o di aggiungere un un paio di caratteri per ogni parola del dizionario, in ogni combinazione in circa un minuto) lo rende all'avanguardia, ma niente potrebbe essere più lontano dal verità. Strumenti come John the Ripper, che supporta set di regole definite dall'utente per il controllo delle trasformazioni del dizionario, fanno sembrare L0phtCrack antico. John lo Squartatore va ben oltre la semplice aggiunta o anteposizione di caratteri alle parole del dizionario, essendo in grado di invertire le parole, ruotarle per caratteri di spostamento, alternanza tra maiuscole e minuscole e stato di spostamento (ovvero, sostituzione di una lettera con un carattere non alfabetico sullo stesso tasto) e molto altro ancora Di più.
