Importanza della Protezione dello Smartphone con Password

Inutile dire che non ha senso parlare di sicurezzadello smartphone se il dispositivo non ha impostata una password o “codice”(passcode) di sblocco schermo.

Gli smartphone più recenti inoltre supportano delle tecnologie di autenticazionebiometrica che usano le impronte digitali o la struttura delvolto di una persona per sbloccare il dispositivo (le più note sono Touch ID e Face ID dell’iPhone di Apple).

Tuttavia anche in questi casi è richiesta la configurazione di una password o “codice” per lo sblocco del dispositivo e per la protezione dei dati.

Perciò è essenziale che la password o codice di sblocco dello smartphone sia in grado di resistere atutti i tentativi di “craccarla” (ossia indovinarla) da parte di un pirata informatico che mira a violare l’intero sistema.

Facilea dirsi, molto più difficile a farsi, come vedremo dopo.

Approccio “Olistico” alla Sicurezza dello Smartphone

Gli americani usano spesso il termine holistic (anche abusandone a volte) per rifersi a un tipo di approccio che considera tutte le parti di un problema e le affronta e risolve in modo globale e completo.

Anche questo è più semplice a dirsi che a farsi.

Per gli smartphone sono emblematici i casi di star e celebrity a cui sono state rubate fotografiecompromettenti conservate sui loro iPhone.

Protezione dello Smartphone:iCloud Login

Invece di passare per la porta principale e cercare di avere accesso diretto al loro smartphone, gli hacker sono passati da una porta secondaria che hanno trovato sguarnita. In pratica hanno ottenuto l’accesso ai file di backup online, che contenevano una copia di tutti i dati presenti sugli smartphone, e hanno scoperto le password (talvolta molto deboli) di alcune persone famose usando una tecnica nota come social engineeringin inglese.

In poche parole, usando dati trovati su Internet e/o usando tecniche di manipolazione psicologica (ad esempio via email, con la tecnica nota come phishing in inglese), sono riusciti a raccogliere abbastanza informazioni per indovinare le password usate per criptare i backup. A quel punto è stato facile per loro estrarre le foto.

Password come la propria data di nascita alla rovescia o il nome della città di provenienza usate per i propri account email e poi “riciclati” per la sicurezza del proprio smartphone non sono difficili da scoprire per un hacker… ormai infatti sul web e sui social media si trovano un sacco di informazioni sui personaggi pubblici!

È questo un problema di robustezza delle funzionalità di privacy e crittografia di uno smartphone? Certamente NO.

È un problema di vulnerabilità su più fronti di un sistema complesso che ha molti punti di attacco, non ultimo quello umano.

L’approccio corretto è che questimolteplici fronti vanno messi tutti in sicurezza!

Bene vediamo cosa si può fare a riguardo…

La Sicurezza del Telefono Cellulare Parte dalla Password

Il discorso della sicurezza dello smartphone è molto complesso e non può essere trattato nella sua completezza in un singolo articolo. E neanche in due… (Esistono infatti intere guide a cui rimanderemo i lettori più interessati).

Il punto di partenza essenziale comunque è sempre una adeguata disciplina nella scelta e configurazione dellepassword che usiamo tutti i giorni.

A riguardo possiamo fornire utili spunti pratici basati sulle più recenti linee guidarilasciate dall’agenzia americana chiamata NationalInstitute of Standards and Technology (NIST), ossia l’ente che fornisce leindicazioni su principi e metodi di sicurezza dausare dal governo americano e non solo.

La Sicurezza del Telefono Cellulare Parte dalla Password

Il discorso della sicurezza dello smartphone è molto complesso e non può essere trattato nella sua completezza in un singolo articolo. E neanche in due… (Esistono infatti intere guide a cui rimanderemo i lettori più interessati).

Il punto di partenza essenziale comunque è sempre una adeguata disciplina nella scelta e configurazione dellepassword che usiamo tutti i giorni.

A riguardo possiamo fornire utili spunti pratici basati sulle più recenti linee guidarilasciate dall’agenzia americana chiamata NationalInstitute of Standards and Technology (NIST), ossia l’ente che fornisce leindicazioni su principi e metodi di sicurezza dausare dal governo americano e non solo.

Sono linee guida da applicare a tutti quei casi in cui non si può o non si vuole semplicemente generare una password a caso, ad esempio perché è necessario che sia digitata da un essere umano chedeve poterla ricordare facilmente. (In effetti password come, ad esempio, wqY-5Ek-XMP-Gzq non sono per nulla facili da memorizzare…).

Un caso molto importante è quello della password/passcode di sblocco di uno smartphone, che deve poter essere digitata quotidianamente con facilità per risultare conveniente all’utente.

Per analizzare questo caso, per motivi di robustezza, prenderemo come riferimento l’iPhonedi Apple i cui ultimi modelli possiedono un chip hardware dedicato alla sicurezza (chiamato Secure Enclave) che ha impedito all’FBI di accedere a tutti imodelli di iPhone successivi al 5/5C.

Nota: Alcuni dei lettori forse ricorderanno che dopo la sparatoria a San Bernardino in California l’FBI ha assunto un hacker specializzato nel forzare la sicurezza degli iPhone per poter accedere ai dati dell’assassino morto, che possedeva per l’appunto un iPhone 5C.

A quei tempi, con iOS versione 9, ilPIN (ossia codice numerico) a 4 cifre dell’iPhone poteva essere craccato in circa 26 minuti, ma solo utilizzando la sofisticata tecnica dell’hacker, che evitava le varie protezioni del software diiOS (come autodistruzione dei dati dopo 10 tentativi oppure aggiunta di ritardi forzati tra un tentativo di accesso e il successivo).

Apple infatti normalmente aggiunge un ritardoforzato quando si cerca di sbloccare senza successo l’iPhone troppe volte seguendo questo schema:

Ritardi aggiunti in una sequenza di tentativi di inserimento delcodice

·         Tentativi 1-4

·         Nessun ritardo forzato

·         Tentativo 5

·         1 minuto di ritardo forzato

·         Tentativo 6

·         5 minuti di ritardo forzato

·         Tentativi 7-8

·         15 minuti di ritardo forzato

·         Tentativo 9

·         1 ora di ritardo forzato

Nel 2015 inoltre, sempre con iOS 9, Apple passò da una lunghezza minima del codice diaccesso di quattro numeri a una di sei. Per i modelli di iPhone “rinforzati” con chip di sicurezza Secure Enclave questo significava essere a prova di hacker (e di agenzia governativa).

Ma non per molto. Ben presto aziende israeliane e americane avrebbero avuto a che ridire in materia.

Facciamo quindi un salto in avanti nel tempo fino ad oggi (Aprile 2018) e quella lunghezza estesa di seicaratteri numerici è diventata tutto d’un tratto facilmente craccabile in una media stimata di sole 11 ore, evitando le protezioni sia hardware che software dell’iPhone.

GrayKey per Craccare uno Smartphone in Poche Ore

Esistono vari pretendenti al titolo di campione di “sbloccaggio” (unlocking in inglese) di un iPhone. Alcuni sono top secret e di loro si sa poco o nulla.

Verso la fine del 2017, però, ha iniziato a diffondersi la notizia che esisteva un nuovo dispositivo chiamato GrayKey (vedi figura sotto), prodotto dalla società Grayshift di Atlanta, per sbloccare l’iPhone.

Graykey Dispositivo di Sblocco dell iPhone (MalwareBytes)

Matthew Green, un professore del John Hopkins Information Security Institute esperto in crittografia ha stimato che con un dispositivo simile che evita tutte le protezioni di Apple un codice di accesso di 4 numeri è craccabile in media in 6.5 minuti e uno di 6 numeri in 11 ore.

Il professore ha anche mostrato come per avere un livello di sicurezza minima accettabile con tempimedi di sblocaggio dello smartphone di 46 giorni si deve usare un codice numerico di almeno 8 cifre.

Ciò presuppone che il dispositivo GrayKey “sprechi” un pochettino di tempo ogni volta che cerca di scavalcare le protezioni hardware e software di Apple. Se invece ora o in futuro una sua versione migliorata diventasse ancora pìù efficiente nell’evitare le difese dello smartphone, il tempo teorico di sbloccaggio potrebbe essere ancorapiù breve!

Che fare dunque?

Come Alzare le Difese e Contrattaccare

È certo che Apple nei suoi futuri modelli di iPhone implementerà varie contromisure e rafforzerà ulteriormente la sicurezza dell’accesso alla sua Secure Enclave, in tal modo rendendo la vita più difficile a dispositivi come GrayKey. A quel punto solo tecniche molto sofisticate di accesso diretto all’hardware potrebbero in teoria permettere di svelare le password (tipicamente però con costi sostenibili sono da enti come agenziegovernative).

Per tutti coloro che usano un modello di iPhone esistente (o anche uno smartphone non Apple…), la soluzione alle minacce offerte da questi dispositivi di nuova generazione di “craccaggio” comunqueesiste già.

MatthewGreen con le sue stime ci dice che in caso si volesse usare un codice di sblocco numerico si dovrebbe almeno sceglierlo di 8 o addirittura di 10 cifre per poter stare tranquilli con la tecnologia esistente.

Matthew aggiunge anche che: «Molte persone reagiscono chiedendo “perché [un codice] decimale, perché non usare un passcode alfanumerico?” Certo, provaci. Ma tieni presente che, ameno che tu non scelga la tua password molto bene, potresti non essere messoeffettivamente molto meglio».

Alle affermazioni di Matthew Green corrispondono quelle di Apple nella sua dettagliatissima Guida sulla Sicurezza di iOS:

Sicurezza del Telefono Cellulare: Autenticazione Biometrica

Inoltre Apple commenta sull’utilità delle funzioni di autenticazione biometrica come Face ID e Touch ID, sottolineando come queste tecnologie rendano meno frequente l’uso di un codice per sbloccare un iPhone e perciò rendono piùpratico l’uso di codici più lunghi e quindi più sicuri.

Infine per chi è preoccupato che queste funzionidi autenticazione biometrica possano essere sfruttate da malintenzionati per accedere ai contenutidell’iPhone forzando l’utente a sbloccare il dispositivo, Apple ha aggiunto una soluzionesemplice per disabilitare Face ID e Touch ID, come abbiamo menzionato in un precendete articolo.

Quando si attiva la chiamataSOS di emergenza anche senza effettuare effettivamente la chiamata, Touch ID e FaceID vengonodisabilitati automaticamente e l’utente è obbligato a inserire il codice segreto per sbloccare l’iPhone.

Per gli utenti non Apple la conclusione non cambia: nonostante la relativa sconvenienza vale la pena usare codici (numeri o alfanumerici) di almeno 8/10 cifre, specialmente se in concomitanza con tecnologie biometriche di elevato livello di sicurezza.

Ancheil NIST stesso per le password alfanumeriche raccomanda una lunghezza minimadi otto caratteri.

Grazie al NIST Abbattiamo dei Miti!

Le conclusioni a cui si arriva leggendo le ultime linee guida del NIST servono ad abbattere dei miti a riguardo di come impostare le proprie password, e quindi in ultima analisi servono a sceglieredelle password più robuste:

·         Mito 1: Una password robusta deve contenere caratteri minuscoli e maiuscoli, numeri e caratteri speciali

·         Mito 2: Una buona password deve essere estremamente lunga

·         Mito 3: Non scrivere mai le password

·        Mito 4: Obbligare alcambio periodico della password migliora la sicurezza

Vediamoli punto per punto:

Mito1. La password “password” è ovviamente terrible in termini di sicurezza, ma mito 1 ci dice che “Password1”, “Abc123” oppure “Passw0rd” lo sono altrettanto. Sonovariazioni/combinazioni che non aggiugono nessun grado di sicurezza.

Ma, non basta. Uno studio del 2012 della Carnegie Mellon University conclude che: “Sebbene il numero e la complessità dei requisiti di composizione delle password imposte dagli amministratori di sistema siano aumentati costantemente, il valore effettivo aggiunto da questi requisiti è scarsamente compreso”. Inoltre lo studio afferma che password di lunghezza minima 16 senza requisiti sui caratteri sono più robuste e facili da ricordare di password di lunghezza minima 8 che devono obbligatoriamente contenere caratteri minuscoli e maiuscoli, numeri e caratteri speciali:

Mito 2. In realtà è ovvio che più lunga è la password meglio è, ma il NIST ci dice che unalunghezza da otto a dodici caratteri può essere adeguata. Il problema è che la password deve essere facile da ricordare e usare, altrimenti perde il suo valore. Quindi password troppo lunghe possono diventare di difficile utilizzo.

Utilizzando un computer moderno veloce una password di otto caratteri che contiene caratteri minuscoli e maiuscoli, numeri e caratteri speciali impiegherà circa 6 anni per essere craccata, ma solo 30 minutisu una botnet (ossia una rete di computer compromessi) di grandi dimensioni. Aumentando la lunghezza della password a 10 caratteri, la stessa botnet ci impiegherà 83 giorni.

Ciò ci suggerische che in caso di password usate perservizi esposti all’attacco di hackers sulla rete è altamente consigliato scegliere lunghezze superiori nell’intervallo suggerito (8-12 caratteri), ossia di preferirepassword di almeno 10 caratteri o meglio 12 (o addirittura 14) caratteri per dormire sonni tranquilli.

Mito 3. Scrivere la password su un foglietto da tenere in un posto sicuro finché la password non è completamente memorizzata è una pratica ritenuta accettabile. Poi la si può riporre incassetta di sicurezza in caso possa servire ai familiari.

Mito4. Questa pratica è considerata deleteria semplicemente per il fatto che forzare frequenti cambiamenti può portare gli utenti a compiere scelte di password piùdebolinel lungo periodo. Ciò può portare a lungo andare a una diminuzione del livello di sicurezza delle password (invece di aumentarlo).

Le più recenti linee guida del NIST evidenziano il fatto che le password devono essere “usabili” (ossia user-friendly, ininglese) prima di tutto. Quindi è utile rendere le regole di sicurezza delle password meno complesse, poiché regole eccessivamente elaborate rendono più difficile per gli utenti svolgere il proprio lavoro, aumentando anche i costi. Cambiare le password regolarmente sembra una buona idea sulla carta, tuttavia rende più difficile per gli utenti ricordare la password più recente. Così gli utenti tendono ad esempio a riutilizzare le password o a creare sequenze facili da indovinare come Password1, Password12, Password123 e così via.

Pass-word, Pass-Code o Pass-phrase?

Come si può rendere le password facili da utilizzare e al contempo robuste agli attacchi degli hacker?

Sicurezza del Telefono Cellulare: Gestione delle Password

Come menzionato in apertura dell’articolo, la raccomandazione principale per la sicurezza dello smartphone è di far uso di uno dei tanti popolariservizi/app di gestione automatica delle password, ossia di un password manager. In tal caso si può lasciare che il password manager generi una password a caso, la memorizzi e la distribuisca sui nostri dispositivi sincronizzandola.

Cosa fare in caso il password manager non funzioni con un sito particolare o che la password richiesta serva in circostanze in cui non si può far uso di un password manager?

Oppure cosa fare nel caso importantissimo di codice di sblocco del dispositivo o di password primaria di un servizio come il password manager stesso?

Vediamo i vari casi individualmente.

Sicurezza del Telefono Cellulare: Scelta della Password

Password Che Richiedono Un Basso/Medio Livello di Sicurezza

Ad esempio potrebbe trattarsi di un servizio di informazioni come il New York Times che si vuole poter consultare da qualsiasi dispositivo, anche privo di password manager.

Se non si inseriscono informazioni critiche come numero di carta di credito o di conto bancario, magari perché è solo un servizio in prova, si può usare una password di basso/medio livello di sicurezza.

In questi casi possiamo utilizzare una passwordfacile da ricordare con 8 caratteri, preferibilmente che non formino una parola (specialmente se semplice da indovinare). In generale possiamo seguire le istruzioni fornite da Google ad esempio qui o qui.

Ad esempio:

·         Non riutilizzare le password su diversi siti web (può essere okay riutilizzarle su tutti i siti dello stesso editore o della stessa azienda, visto che verrebbero probabilmente memorizzati insieme)

·         Evitare password comuni come “password” o “admin”, o parole del dizionario come “new york” o “giornale” (correlate con l’esempio sopra), ma anche schemi sequenziali come “abcd1234” o “giornale123”. Anche sequenze di tasti derivate dai modelli di tastiera come “qwerty” o “qazwsx” sono abusate e ben note agli hacker.

·         Aggiungere lettere maiuscole, numeri e simboli, purché facili da ricordare (tuttavia attenzione che la password “Giornale123” non è più sicura di “giornale123” che non è molto più sicura di “giornale”). Meglio usare caratteri particolari solo se aggiungono imprevedibilità alla password.

·        MAI usare password basate sudati personali. Non solo le celebrità hanno la loro vita sbandierata su Internet. Molte informazioni su di noi possono essere diffuse anchea nostra insaputa (si veda il recente caso collegato a Facebook…).

·         Assicurarsi di avere opzioni per il recupero dellapassword in caso la si dimentichi (anche le password facili possono essere scordate). Per questi livelli di sicurezza tipicamente si fa riferimento alle procedure di reset della password inviata al proprio account di posta elettronica.

Protezione dello Smartphone: Password ad Alta SicurezzaWorldArtsMe

Password Che Richiedono Un Livello Alto di Sicurezza

In questo caso si tratta di servizi essenziali come:

·         la password del proprio conto bancario

·         la password admin del proprio routerwireless o di un server

·         la password di accesso del proprio computer

·         la password dei servizi cloud (come iCloud di Apple)

·         la password dei servizi di postaelettronica

·         il codice di sblocco e password principale di sicurezzadel telefono cellulare

·         ecc.

Ciascun servizio ovviamente richiede una password distinta (come hanno scoperto alcune celebrità americane a loro spese…).

Inoltre, vista la loro natura critica, per tutti questi servizi è essenziale alzare delle altebarriere di protezione, che possono essere suddivise in questi due casi principali:

1.    Password o passcode di un dispositivo/servizio non attaccabile dall’esterno

2.    Password o passcode di un dispositivo/servizio esposto agli attacchi esterni

Nel primo caso può essere adeguata una password di 8/9 caratteri, mentre nel secondo caso come abbiamo già discusso è bene salire a 12/14 caratteri.

In caso di servizi cloud (come iCloud), inoltre, esiste un secondo livello di sicurezza che sipuò attivare chiamato autenticazione a due fattori (two-factor authentication, in inglese). Questi servizi devono essere ben protetti e sono utili anche per localizzare e/o bloccare uno smartphone in caso di smarrimento o furto.

Come fare dunque per crearsi delle password ottimali e diverse per tutti questi servizi?

Questo articolo e questo sito che fornisce consigli su Linux offrono validi suggerimenti su come creare password robuste e facili da ricordare: il trucco è usare una frase di accesso (passphrase)invece che una password (ossia una singola parola di accesso).

La Pass-phrase

La chiave è di pensare nella propria mente a un’immagine facile da ricordare. (Questa è anche una tecnica per la memorizzazione veloce.) Questa immagine deve contenere concetti e quindi parole possibilmente scorrelati (in apparenza) tra di loro.

Una volta memorizzata questa immagine la si può usare per generare le parole della passphrase.

Ad esempio uno dei miei dipinti preferiti è la Ragazza colturbante o Ragazza con l’orecchino diperla di Jan Vermeer. Ciò che mi colpisce di più del dipinto è:

1.    La ragazza

2.    L’orecchino

3.    Lo sguardo

4.    Il turbante

Visto che ragazza e orecchino sono correlati (come anche orecchino e perla), escludo il n. 1 dalla lista e creo la frase separando le parole col segno – e inserendole nell’ordine (apparente casuale) in cui ciascun fattore mi colpisce di più:

orecchino-sguardo-turbante

Poi, visto che questa è una frase piuttosto lunga e scomoda da battere la accorcio troncando le parole con uno stile da “linguaggio giovanile” (es. raga per ragazza):

ore-sgua-turba

Ottimo: 14 caratteri con i segni “-” in posizioni apparentemente casuali, e con nessuna correlazione apparente tra le parole ele informazioni personali della persona che l’ha creata. (Urca, ora mi sa che devo correre a cambiare la password della mia banca… 🙂 )

Ma Se il Servizio mi Obbliga ad Usare Almeno una Lettera Maiuscola e un Numero?

Bene allora scegliete un numero e una lettera qualsiasi. Ad esempio io ho bei ricordi della classe 5C. Inseriteli nella passphrase possibilmente in una posizione casuale. Ad esempio per praticità di battitura scelgo:

5Core-sgua-turba

Ciò comunque non aggiunge molto in termini di sicurezza, visto che la passphrase originale era già solida. Attenzione però alla creazione involontaria delle parole quando si concatenano lettere. Nel caso sopra “Core” è una parola inglese abbastanza comune che preferisco non avere nella passphrase. Meglio quindi usare un’altra coppia di caratteri oppure semplicemente scambiarli:

C5ore-sgua-turba

Con una passphrase diversa per ogni servizio critico, si può anche riutilizzare i due caratteri (ad esempio numero e lettera preferita) per tutte le passphrase, al fine di non confondersi e/o rischiare di dimenticarsi la combinazione scelta “C5”.

E Se il Servizio mi Obbliga a Cambiare la Password Ogni Sei Mesi?

In quel caso, come abbiamo detto, questoservizio sta facendo a voi e a se stesso un… disservizio.

In tali casi si può cercare di “barare”. Bisogna essere certi della robustezza della passphrase. Inoltre bisogna essere certi che non ci sia modo che venga smarrita/divulgata (ad esempio attaccata ad un post-it sullo schermo del proprio PC…).

Quindi attenzione al phishing!

Se la password non viene mai usata al di fuori del servizio che la richiede, si può decidere semplicemente di variarla nel tempo mantenendo traccia della variazione, per esempio così:

·        oreC5-sgua-turba

·        oreD6-sgua-turba

·        oreE7-sgua-turba

·        oreF8-sgua-turba

·         ecc.

La combinazione di due lettere scelta di volta in volta può anche essere attaccata in un post-it al computer, visto che è in una posizione imprevedibile della passphrase. Inoltre non aggiunge nulla alla robustezza della stessa.

Seinvece si ha motivo di ritenere che la passphrase possa essere stata violata opassata involontariamente ad un hacker, è indispensabile cambiarla completamenteSUBITO.

Sicurezza del Telefono Cellulare: Scelta del Passcode

E Per QuelChe Riguarda il Codice di Sbocco dello Smartphone?

Il caso del codice di sblocco dello smartphone è speciale perchè, come discusso precedentemente, di norma è più conveniente e rapido usare un codice numerico (passcode) invece che una password alfanumerica (ovviamente è anche un preferenzapersonale).

Inoltre esistono individui e aziende che possono spendere tempo e risorse per implementare softwaredi malware e dispositivi ultra-sofisticati come la GrayKey per craccare gli smartphone (anche per scopi legittimi). Questo li pone nella seconda categoria di dispositiviad alta esposizione (potenziale) ad attacchi di natura molto sofisticata (anche non provenienti necessariamente dall’esterno ossia Internet).

Questa considerazione è validain generale per la sicurezza del telefono cellulare, che sia “smart” oppure no, se questo contiene informazioni di grande valore per un pirata informatico.

Che fare dunque per creare una passphrase con i codici numerici?

È possibile seguire un metodo simile a quello descritto sopra per i caratteri alfanumerici.

Ad esempio, una appassionata di serie TV potrebbe avere meravigliosi ricordi di una famosa serie degli anni ’90 chiamata Beverly Hills 90210. Inoltre la stessa persona potrebbe avere un vivido ricordo noto solo a lei di un lieto evento ad esempio accadutonel 2005 (per esempio la nascita del primo cucciolo, purché non sia stata postata su Facebook o Twitter, o sbandierata ai quattro venti con uno striscione attaccato ad un aereo… 😉 ).

Una volta scelto un numero a caso come divisore (al posto del trattino), ad esempio 1, ecco il passcode/passphrase:

9021012005

Ottimo! 10 caratteri che non includono date di nascita di sè o dei parenti!

Un problema della scelta effettuata sopra potrebbe essere l’uso troppo frequente dello zero nel passcode. E anche dell’1.

Meglio quindi scegliere un altro numero come divisore, come il 7 e ottenere quindi:

9021072005

A ciascuno/a la sua ricetta in base ai propri ricordi e alle immagini più facili da memorizzare e ricordare…

Conclusione

In conclusione, l’importante è che la passphrase o il codice numerico siano:

·         facili/pratici da ricordare

·         unici e originali

·         non riutilizzati

·         non correlabili con dati pubblici personali

·         non prevedibili

Oltre alle innumerevoli immagini mentali che si possono scegliere, gli schemi personalizzati di variazione su numeri preferiti, lettere scelte e loro posizione all’interno della sequenza delle cifre, nonchè la scelta dei caratteri divisori (che possono anche essere *, #, =, +, o altro ancora), sono praticamente infiniti.