#359 – Cambio la password?

Nel gruppo del podcast abbiamo avuto, qualche tempo fa, una discussione abbastanza accesa sulla necessità di cambiare regolarmente la password o, meglio, le password, dei vari servizi che usiamo quotidianamente. C’è chi dice che è meglio farlo, c’è chi dice che non serve, tra questi un ente di fama mondiale, il NIST e la ISO 27001. Anche se ho parlato di password già in 7 puntate, ho pensato sia il caso di aggiungere questa ennesima puntata, per andare più a fondo sul cambio password, come e perché.

Questa puntata è stata realizzata grazie alle indispensabili donazioni di generosi ascoltatori
Gli abbonati
Andrea
E le donazioni spot
Alessandro
Andrea
Per sapere come far parte di questo elenco vi rimando al capitolo un po’ più in là nella puntata.
Piccola novità, nella busta dei gadget che vi arriva a casa, da questo mese, troverete un piccolo kit di un dado, casuale in facce, da 4 a 20 e in colori, a seconda di cosa ho nel caricatore della stampante 3D, pronto da piegare e montare.

Prima di iniziare, vi ricordo che potete contattarmi in mille modi, su Bluesky sono francesco.iltucci.com, su Mastodon sono cesco_78 su mastodon.social o pillole dibit su hackyderm.io o via mail a [email protected], trovate tutti i link comodi comodi sull’app dalla quale state ascoltando la puntata o sul sito, rispondo sempre. Il metodo migliore però è il gruppo telegram attivo durante tutta la settimana, dove si parla delle puntate e di tecnologia in generale, siamo davvero tanti, lo trovate a pilloledib.it/telegram

Oggi serve una seconda introduzione per due aggiornamenti e un piccolo rant.
Il primo è che vi devo chiedere scusa per un piccolo pasticcio legato alla puntata su Margaret Hamilton e mi devo lamentare per come vengono diffusi i podcast su alcune piattaforme. Se ascoltate il podcast su Spotify, Spreaker, Youtube o una delle piattaforme che prendono il feed da loro, vi sarete accorti che il file audio non era, anzi, non è ancora, quello corretto.
In pratica ho caricato il file sbagliato quando ho pubblicato la puntata. Alcuni ascoltatori, che ringrazio moltissimo, prima delle 8 del mattino me lo hanno fatto notare per tutte le vie con le quali posso essere contattato, ho pertanto aggiornato in fretta il file sul feed originale.
Il problema è che i tre servizi di cui sopra fanno riferimento al feed, ma copiano il file audio nei loro sistemi e da questi lo diffondono.
Ma, una volta copiato dal feed originale, non lo aggiornano più, anche se questo viene cambiato.
Su spreaker c’è un modo molto complesso per aggiornarlo a mano, sugli altri due no.
Per lasciare tutto pulito l’unica soluzione che ho trovato è che pubblicherò domani una seconda volta la stessa puntata con il file audio giusto, cancello quella sbagliata da tutte le altre piattaforme, attenzione, da Spotify non si può fare neanche quello, e dovrebbe andare tutto a posto. Scusate per il disagio, spero di non caricare mai più un file sbagliato.
Se siete abbonati al feed originale vi troverete la puntata di nuovo da scaricare, la cancellate e via.
Il secondo aggiornamento è che ho ricevuto un commento su spotify sulla puntata degli orologi, non mi arrivano notifiche e l’ho visto, tardi, mentre cercavo di risolvere il problema appena raccontato, ho fatto un errore nel pendolo, il tempo di oscillazione varia a seconda della lunghezza del pendolo e non della sua massa, scusate l’imprecisione.

Se avete ascoltato le vecchie puntate lo sapete già, se no vi faccio un rapido riassunto.
Ogni servizio che usate, che ha un accesso con utente e password, memorizza quest’ultima in modo che sia crittografata, con una funzione matematica detta hash a sola andata. La si codifica con questa funzione e non c’è modo di sapere dalla stringa di hash qual è la password di partenza.
Il controllo della password viene fatto inserendola, questa viene codificata nello stesso modo, se l’hash che risulta è uguale, allora la password è validata.
Ci sono vari modi per codificare le password, non è questa la puntata per approfondire.
Ogni servizio ha il suo bel database con utenti e relativo hash delle password.
Se parliamo di accesso al computer, la password è memorizzata in un file specifico, anche questo codificato, il sistema cambia a seconda del sistema operativo.
Abbiamo tante password, troppe password e le regole sono sempre le stesse.
Devono essere diverse per ogni servizio, devono essere lunghe abbastanza, anche un po’ complicate e, possibilmente salvate in un posto sicuro, come un password manager.
Va bene se sono complicate, va anche bene se sono molto lunghe composte da tre o quattro parole mnemoniche.
Qual è il problema delle password? che possono essere scoperte e quindi usate per accedere in modo illecito a servizi per fare danni.
Accedere al conto bancario, accedere alla VPN aziendale, accedere ad altri servizi per furto di dati, informazioni, attacchi di vario genere.
Come si rubano le password?
Il primo modo è banale, si chiedono alle persone e queste le dicono.
Starete pensando che figurati se capita. Certo che capita, molto spesso.
Ecco, non dite mai le vostre password a nessuno, in nessun caso, neanche al supporto dei vari servizi, neanche all’IT dell’azienda dove lavorate.
Se hanno bisogno la resettano.
Per via dell’hash, non la possono vedere, questo è sicuro.
Se la possono vedere il problema è molto più grande.
Non scrivetele su port-it attaccate a monitor e PC, come non scrivete il PIN del bancomat sul bancomat.
Gli altri modi sono più complessi, perché è necessario accedere in modo fraudolento ai sistemi e portare via i DB con gli hash.
Esistono al mondo degli enormi DB con le corrispondenze di hash e password, anche in base al tipo di codifica che è stata usata.
Se la password è semplice o troppo corta, con le nuove GPU è facile craccare un hash, provando delle tabelle di dizionari e tutte le combinazioni di caratteri possibili
Insomma, se rubano un DB con gli hash, si può dire che la password è compromessa.
Come si fa a sapere che una password è compromessa?
Le aziende che sono state violate hanno l’obbligo di legge di comunicarlo in tempi stretti, informano i propri utenti e ne danno comunicazione pubblica.
Ci sono poi servizi come I have been pwned, che rilanciano queste informazioni.
Lo fanno anche i password manager, sono iscritti a questi servizi e vi notificano se le password che avete salvato sono state compromesse.
Un altro modo palese, mi è successo una volta con l’account steam, entrano con la password nel vostro account e vi arriva la notifica di accesso o di richiesta del secondo fattore.
E se vi rubano quella aziendale?
Anche qui, se la dite a qualcuno, così controlli la mia posta quando sono in ferie, la password è compromessa.
Se cadete in un attacco di phishing, ormai ce ne sono di molto sofisticati, è compromessa.
Secondo me, se perdete il portatile e questo non ha bitlocker, visto che è salvata nel SAM del sistema e tutti sanno con che hash è codificata, si può considerare compromessa.
Se hanno attaccato la vostra azienda, è anche compromessa.
Il problema, potrebbe essere che non tutte le aziende sono così smart da sapere di essere state attaccate, ma con le nuove leggi ci sono controlli obbligatori un po’ più pervasivi.
Cosa succede se ve la rubano?
Possono accedere alla vostra mail dall’esterno, ma con i nuovi sistemi arriva una notifica di accesso, mi è successo dove lavoravo prima, diciamo che lo si scopre subito.
Possono accedere alla vostra VPN, ma in un sistema ben fatto i certificati sono solo sui PC aziendali e la VPN ha anche un secondo fattore di autenticazione, non dovrebbe essere un rischio facilmente sfruttabile.
Potrebbero usarla per accedere alle risorse aziendali usando il vostro PC rubato, ma se la cambiate appena rubato, siete a posto.
Diciamo che ormai, qualunque sia la password, se esce, si sa. Se la dite in giro e non la cambiate siete dei fessi.
Perché si dice che non serve cambiare le password regolarmente e, anzi, è controproducente e non aumenta la sicurezza?
Abbiamo tutti decine e decine di password.
Mettersi lì ogni 90 giorni a cambiarle tutte è un lavoro immane.
Per questo si tende a cambiarle usando una radice fissa e una parte variabile, tipo Soleggiato77, poi Soleggiato78 e così via.
Un attaccante che scopre una password del genere ci mette davvero poco a provare le numerazioni successive. Il cambio diventa inutile.
Cambiare le password con una random di 25 caratteri tutte le volte è un lavoro davvero improbo.
Per questo motivo, le direttive dicono, in modo molto semplice, di scegliere password robuste per ogni servizio, tutte diverse e di cambiare quelle per le quali si sa che sono state probabilmente violate.
Ma attenzione, nessuna legge impone di non cambiarle. Se le volete cambiare, potete farlo, nessuno ve lo vieta.
In Italia, i protocolli dell’AGID, Agenda digitale, invece obbligano il cambio. Lo sappiamo tutti perché scadono le password dello SPID e della CIE, con tedio di molta gente.
Insomma, se il NIST dice che non è necessario un cambio regolare e invece ve lo dice il vostro vicino di scrivania che ha studiato tutt’altro che cybersecurity, io tenderei a fidarmi del NIST.

Questo podcast vive perché io lo produco, lo registro e lo pubblico settimana dopo settimana o quasi. Ma continua ad andare avanti perché la soddisfazione di vedere le notifiche delle donazioni mi spinge a fare sempre nuove puntate, come ringraziamento e impegno nei vostri confronti. Se esce ogni settimana è grazie a voi.
E se donate, compilate il form, vi spedisco anche i gadget, così siamo tutti contenti.
Potete farlo con Satispay, SumUp o Paypal.
Potete partecipare anche usando i link sponsorizzati di Amazon o acquistare la connettività o uno degli altri servizi di Ehiweb, che sponsorizzo con molto piacere da tempo, un gestore di connettività come loro non lo trovate in giro.
Oltre alla connettività per casa FTTH o FTTC, hanno le SIM, posano fibra dedicata per le aziende, fanno servizio VoIP, hanno un supporto spaziale e tutti i loro dipendenti sono assunti a tempo indeterminato.
Provateli, non tornerete più indietro.
E se avete bisogno di un servizio di Hosting, andate da ThridEye, che ospita da anni il sito del podcast, ho fatto la mia scelta e anche qui il livello è altissimo, i contatti sono sul sito.

L’estate si avvicina e iniziano a spuntare le persone su motoveicoli e ciclomotori. La probabilità di vedere un incidente, di conseguenza aumenta. Non porto sfiga, sono i numeri.
Ma questa cosa vale per qualunque incidente traumatico al quale assistente e per il quale vi sentite nelle condizioni di intervenire.
In moto, in auto, una persona che cade da una scala e così via.
Prima regola: non rischiate di farvi male
Seconda regola: non peggiorate la situazione
Terza regola: non pensate che qualcun altro stia chiamando i soccorsi, fate il 112 o il 118, a seconda della regione dove siete.
Torniamo alla seconda regola.
I feriti, in caso di trauma, non vanno mai, mai, mai mossi.
Ripeto, mai.
Anche se stanno bene, anche se parlano, anche se vorrebbero muoversi e inveire contro la controparte.
No.
Con calma, dite loro che verranno mossi solo dai soccorsi, ne va della loro salute e del loro futuro.
Li convincete a stare fermi, in qualunque posizione siano, se vi fanno avvicinare vi avvicinate e tenete loro la testa ferma, in qualunque posizione sia.
Non date da bere, non date da mangiare.
Tenete la testa ferma e state lì con loro, parlate con loro e aspettate i soccorsi.
Non togliete il casco ai motociclisti, non fateglielo togliere.
Se c’è altra gente fate fare loro in modo che eventuali altri veicoli non sopraggiungano.
Se siete al telefono con la centrale dite loro cosa state facendo e seguite le loro direttive.
Muovere un ferito dopo un trauma, anche se può sembrare che stia bene, potrebbe provocare lesioni alla colonna e lei/lui potrebbe perdere l’uso di gambe, braccia o peggio.
Poi magari non succede, ma meglio evitare.
Il tutto non vale ovviamente, se c’è rischio di esplosione o incendio.
In questo caso i feriti vanno estratti in fretta, ma sempre con la regola, terribile, lo so, solo se non mettete a rischio la vostra incolumità.
Perché meglio un ferito che due feriti.
Non è un tip tecnologico, ma è un tip importante, tutte le volte che vedo un incidente, vedo il ferito che cammina e che beve un bicchiere d’acqua offerto dai passanti. Non si fa.
Una volta sono arrivato in ambulanza, macchina distrutta, non trovavamo il conducente ed era al bar a prendere il caffè.
Anche voi, se siete coinvolti, non vi muovete e non fatevi muovere, se non vi tirano fuori le persone dei soccorsi che sanno come si fa, ovviamente se vedete il fuoco, scappate, se potete.

Questa puntata di Pillole di Bit è giunta al termine, vi ricordo che se ne può discutere nel gruppo telegram e che tutti i link e i riferimenti li trovate sull’app di ascolto podcast o sul sito, non serve prendere appunti.
Io sono Francesco e vi do appuntamento a lunedì prossimo per una nuova puntata del podcast che, se siete iscritti al feed o con una qualunque app di ascolto vi arriva automagicamente.
Se volete partecipare alla realizzazione della puntata speciale di Pillole di Bit Stories, andate su pilloledib.it/sostienimi e fate la vostra parte, se a fine mese il cerchio delle donazioni di riempie, realizzerò la puntata speciale.

Grazie per avermi ascoltato

Ciao!