Aldilà di questo grave evento, il tema della gestione delle password è sempre attuale. Nonostante l’ingresso in scena negli anni passati di token hardware, meccanismi crittografici ed altre nuove tecnologie volte a proteggere i nostri dati, gran parte della sicurezza dei nostri account e delle nostre informazioni è ancora oggi fortemente legata alla riservatezza di una password.
Se, da un lato, l’implementazione di politiche complesse di password management (ad esempio parole d’accesso lunghe 14 caratteri, contenenti un mix più o meno astruso di lettere maiuscole, minuscole e simboli) rende sicuramente più difficile ad un normale aggressore la possibilità di indovinarle attraverso un comune bruteforce di dizionario, dall’altro è anche vero che non semplificano di certo la vita degli utenti che tendono a dimenticare molto spesso le proprie password e ricorrere altrettanto frequentemente al servizio “ricordami la password”.
Bloccare gli attacchi di dizionario, disattivando temporaneamente un account, quando viene fornita per un certo numero di volte una password sbagliata si sta inoltre rivelando un meccanismo inutile e completamente fallato: gli attacker hanno capito che possono ottenere risultati altrettanto validi semplicemente sottoponendo a tappeto una password molto banale (e probabilmente diffusa) contemporaneamente su migliaia o milioni di utenze alla volta, il tutto indipendentemente dal fatto che possono bloccare di proposito un account portando a termine un così detto Denial Of Service (negazione all’utilizzo del servizio da parte dell’utente legittimo).
Proprio affrontando questi temi, i ricercatori Microsoft Stuart Schechter e Cormac Herley hanno proposto un nuovo approccio al Security Conference tenutosi lo scorso mese a Washington.
Il nuovo meccanismo (che potrebbe prossimamente essere implementato da Microsoft nel servizio Hotmail) prevede che una password possa essere impostata solo su un numero limitato di account. Quando il limite viene raggiunto, la stessa cessa di essere disponibile e non può più essere scelta dagli utenti, un pò come capita quando si tenta di registrare un account di posta già esistente ed il sistema rigetta la richiesta.
In questo modo il rischio di violazioni multiple degli account risulta essere contenuto. Il meccanismo dà il meglio di se in presenza di ambienti IT di medie/grandi dimensioni con decine di migliaia di caselle di posta elettronica.
Microsoft will introduce a more sophisticated mechanism for the management and password protection
Last December an attack on social media RockYou, perpetrated by a SQL Injection vulnerability, publicly exposed about 32 million web passwords, half of which consist of consecutive digits or common dictionary words.
Beyond this major event, the issue of password management is always present. Despite entering the scene in recent years of hardware tokens, cryptographic mechanisms and other new technologies to protect our data, much of the security of our accounts and our information is still strongly linked to the confidentiality of a password.
If, on the one hand, the implementation of complex password management policies (eg passwords 14 characters long, containing a more or less obscure mix of uppercase, lowercase and symbols) certainly makes it more difficult for an attacker to normal can guess through a common bruteforce dictionary, second is certainly true that simplify the lives of people who tend to forget your passwords often and use the service as often "remember password".
Block dictionary attacks, temporarily disabling an account, when given for a number of times an incorrect password is also revealing a mechanism useless and completely failed: attackers have realized that as good results can be obtained simply by submitting a password belt trivial (and probably popular) simultaneously on thousands or millions of users at a time, quite apart from the fact that they can block an account for about carrying out a so-called Denial of Service (denial of service use by the user legitimate).
Just addressing these issues, Microsoft researchers Stuart Schechter and Cormac Herley have proposed a new approach to Security Conference held last month in Washington.
The new mechanism (which could soon be implemented by Microsoft's Hotmail service) requires that a password can be set only on a limited number of accounts. When the limit is reached, it shall cease to be available and may no longer be chosen by users, a bit like happens when you try to register an email account already exists and the system rejects the request.
In this way the risk of multiple violations of the account appears to be content. The mechanism gives the best of IT environments in the presence of medium / large with tens of thousands of mailboxes.
Popularity is Everything: A new approach to protecting passwords from statistical-guessing attacks
source DUKE ITALIA - Tech