La sicurezza della maggior parte dei nostri account dipende da un solo fattore di autenticazione, il che è abbastanza rozzo e non particolarmente sicuro; questo fattore è la password: un oggetto che può essere indovinato, forzato, smarrito, trovato in un cassetto e così via. In pratica, per accedere a un sistema, oltre al nome utente mi basta “qualcosa che so”.

Aggiungere un fattore aumenta drasticamente la sicurezza, oltre a “qualcosa che so”, mi serve “qualcosa che ho”. Un esempio noto a tutti è il bancomat: il PIN (che “so”) non serve senza la tessera (che “ho”). Un caso simile sono i token forniti dalle banche per i servizi online, ma in quel caso la sicurezza è ulteriormente incrementata perché si aggiunge il fattore tempo: le password che il token mi aiuta a generare non sono riutilizzabili (one-time password) e funzionano solo in un determinato arco di tempo.

Qualcuno potrebbe obbiettare che anche “qualcosa che ho” può essere rubato, e infatti il terzo strato di sicurezza è quello biometrico: “qualcosa che sono”. Impronte digitali o della retina o vocali, o altre forme di identificazione personale possono essere utilizzate per raggiungere un livello di sicurezza molto elevato, se combinate con i fattori visti prima. (Se poi vi picchiano per estorcervi la password, vi rubano il portafoglio per la tessera magnetica e vi cavano un occhio perché serve la vostra retina, avete un problema più grosso).

La password del vostro account Google vi fa accedere  alla vostra casella Gmail e a tutta la serie dei servizi forniti da Big G; inoltre serve per autenticarsi su tutti quei siti di terze parti che avete autorizzato nel tempo. E’ evidente che si tratta di qualcosa che deve essere custodito con la massima cura e deve essere ragionevolmente complesso.

Google stessa ha tutto l’interesse perché  il bouquet della sua offerta sia il più possibile sicuro, in modo da tranquillizzare gli utenti che vi si sono affidati. Per questo ha introdotto la possibilità di attivare su tutti gli account la verifica in due passaggi. Il processo è spiegato in dettaglio nella pagina dedicata. Vediamo di chiarire alcuni dubbi che potrebbero sorgere.

Intanto: come funziona? Una volta attivata, per accedere al vostro account Google (il caso più frequente è la posta), dovrete inserire come sempre la vostra password, dopodiché vi verrà richiesto un codice numerico che verrà immediatamente mandato via SMS. Al momento dell’inserimento, potete decidere se mantenere “registrato” il computer che state usando per un periodo di 30 giorni. Cosa significa? Se decidete di non registrare il computer, il codice verrà richiesto anche agli accessi successivi, mentre nel caso opposto passerà un mese; potete quindi discriminare tra un computer “temporaneo” ed il vostro.

Anche se la password viene rubata o intercettata, un malintenzionato non potrà accedere alla casella perché sprovvisto di PIN, e quello che avete usato sul computer non sicuro è scaduto pochi secondi dopo l’utilizzo. In pratica, il PIN rende la password ogni volta nuova, unica, utilizzabile una sola volta e in un arco ristretto di tempo. Non male.

Analogamente alla spiegazione precedente, adesso i fattori sono due: qualcosa che “sapete” (password) con qualcosa che “avete” (il cellulare). Inoltre, la sicurezza è ulteriormente aumentata dalla password one-time che scade dopo pochi secondi. Naturalmente in questo caso la vostra password originale non cambia, è l’unione con il PIN che la rende unica ogni volta. Anche se qualcuno viene a conoscenza, indovina o ruba la password, essa è inutile senza il vostro cellulare.

Per attivare la verifica in due passaggi (2 step authentication) è necessario collegare un telefono cellulare al vostro account Google. Il numero verrà utilizzato solo per l’invio dei PIN necessari all’autenticazione. Se possedete uno smartphone, potete anche utilizzare in alternativa un’apposita applicazione gratuita fornita da Google. Il dispositivo va autorizzato tramite un codice o un QR code, e da quel momento in poi il PIN sarà fornito da Google Authenticator, che in pratica trasforma il vostro smartphone in un token software concettualmente analogo ai token forniti dalle banche o dalle aziende per l’accesso VPN. Authenticator esiste per Android, iCoso e BlackBerry.

Ma non tutte le applicazioni supportano la 2 step authentication: il caso più comune sono i client di posta e le applicazioni desktop che accedono ai servizi Google. In questo caso vanno create delle password “dedicate” per ciascuna applicazione. La spiegazione di Google è un po’ fumosa, al riguardo. In realtà il concetto è semplice: per le applicazioni che non supportano il PIN (G. lo chiama “codice di verifica”) è necessario far creare dal sistema una nuova password. Benché sia possibile utilizzare la stessa per diverse cose, è più flessibile fare in modo che ciascun programma abbia la sua, in modo da poter in qualunque istante revocare la validità delle credenziali di una singola applicazione. E’ per questo che al momento della creazione viene chiesta un’etichetta: in modo da poter distinguere. Esempio (brutto): vi rubano il portatile ma voi potrete disattivare le credenziali di Mail o di Outlook senza che la posta e la sincronizzazione sul vostro Android/iPhone/BlackBerry smetta di funzionare. Fate attenzione che la password generata viene mostrata una sola volta, se la dimenticate, dovete cancellarla e ricrearla, quindi nella applicazione in cui la userete assicuratevi di selezionare “ricorda password”, a meno che non vogliate usarne una nuova di zecca ogni volta.

“Ma ho lasciato il cellulare (o lo smartphone) a casa, come faccio a ricevere il PIN?” C’è una soluzione: durante il processo di attivazione potrete stampare una tabella analoga a quella che vedete nell’immagine a lato, con una serie di PIN utilizzabili una sola volta in caso non disponiate temporaneamente del dispositivo di autenticazione che avete registrato. E’ una soluzione meno “robusta” perché i codici non scadono, ma è ugualmente “una cosa che avete” e non è riutilizzabile. Naturalmente dovete tenere questi codici al sicuro, nel vostro portafoglio, oppure online su un altro servizio. Potete generare nuovi “pin pad” accedendo alle impostazioni della 2-step-authentication nel vostro account Google.

L’autenticazione in due fattori aumenta drasticamente la sicurezza del vostro account e lo protegge da intercettazioni, furti e altre pratiche illecite. Utilizzando questo processo si possono tagliare fuori gran parte degli attacchi più banali e alla portata di molti, rendendo il vostro account meno “appetibile” di altri più vulnerabili. Un plauso a Google che in questo caso dimostra attenzione per la sicurezza dei suoi utenti.

Tags: account, autenticazione, gmail, google, password, sicurezza, Tecnica

Eccoci qua, con un nuovo appuntamento

NakedPassword: incoraggia i tuoi utenti ad usare password sicure con una donna nuda
Blogosfera Italiana 2011: l'ottimo Vincos ne combina un'altra delle sue
Windows 7 e sincronizzazione delle cartelle: un'ottimo post di Gioxx

Buona domenica!

CC BY-NC-SA 2006 - 2011 · Il meglio della settimana – 120

Follow @ErrataRobPeople imagine that sophisticated hacking requires sophisticated computers. The truth is that almost everything a hacker does can be done with a cheap notebook computer, or even a mobile phone.The major exception is password cracking, and related crypto tasks like bitcoin mining and certificate forgery. In these cases, a minor investment in hardware can be warranted.In particular, those who need to crack passwords (pen-testers, sysadmins, hackers) should buy a gaming graphics card in order to speed up cracking. Or, when buying notebooks for pen-testing, they should choose those with graphics processors.What’s a GPUComputers, as we know them, used to contain a single processor, called the central processing unit or CPU".Now they contain a second processor, called the graphics processing unit or GPU. As the name implies, GPUs are intended for graphics, which means games and video.But GPUs aren’t just for graphics; they are good for any highly repetitive task. Typical GPU applications include video transcoding, statistical modeling, physics simulations, medical imaging, financial modeling, and cryptography. Password cracking is just one form of cryptography.It’s important to keep in mind that graphics processors are no more powerful than central processors. Trying to run non-repetitive tasks on the graphics processor results in a speed decrease. Foolish hackers regularly attempt this, and are regularly disappointed. Instead, graphics processors are optimized for calculations that are highly repetitive, whereas normal processors are optimized for the major of code that isn’t very repetitive.These days, most computers come with a GPU. The iPhone has an ARM CPU and a PowerVR GPU. The latest Intel "Sandy Bridge" CPUs come with a custom Intel GPU built into the chip. AMD processors (formerly called "Athlon") have a version of the Radeon GPU on the chip. Except for AMD’s built-in GPUs, these aren’t programmable by the user, and therefore, can’t be used for anything other than graphics (although Intel keeps promising to make their GPU more programmable). Even AMD’s built-in GPU is slow relative to add-on GPUs.Instead, when this paper mentions GPUs, it refers to the gaming cards with the fastest GPUs. Such cards can easily accelerate password cracking by 20 times. Using such cards, people are putting 8 GPUs in a system, accelerating password cracking by 160 times. That means a password that would otherwise take 6 months to crack can now be cracked in a day -- assuming you are willing to spend $3000 on graphics cards.Radeons are better than GeForceThere are only two manufacturers of high-end gaming cards: nVidia with their GeForce cards, and AMD with with their Radeon cards. Both sell a wide range of cards, from the very cheap (but slow) to the very expensive (but fast). Prices typically range from around $100 for the cheaper ones, to $800 for the most expensive, with the best price-performance ratio around the $250 mark (two $250 cards will likely be faster than a single $700 card).For gaming, Radeons and GeForces have roughly the same performance, with the fastest GeForce cards being the slight favorite. For super computer applications, like weather modeling or physics simulations, the GeForce cards are the clear favorite. However, for crypto, it’s the Radeon cards that come out on top. For equivalently priced cards, a Radeon card will be over twice as fast as a GeForce card when cracking passwords.There are a few reasons for this. Radeons have more theoretical power, but suffer from a "VLIW" instruction set that makes it hard to realize that power in practice. Password cracking is VLIW friendly, though, and can tap into that power. In addition, Radeons have specific integer instructions like "bitalign" (aka. "rotate") and "BFI_INT" ("bitselect") that speed up popular crypto operations.Thus, a cheap model of the Radeon like the HD 5770 costing $109 will outperform an expensive GeForce model like the GTX 590 costing $749. The most expensive Radeon model, the HD 6990 costing $739, will be over three times as fast at cracking passwords.Thus, the consequence is that if you want to crack WiFi WPA2 passwords, Windows NTLM password, Unix salted MD5 hashes, or Bitcoin hashes, then you should probably invested in one of these GPUs. Even a cheap $100 card can increase speed over your desktop processor by 20 times. Ideally, you should buy a Radeon card for this rather than a GeForce card.Moore’s LawThe above discussion applies to June 2011. Next year, CPUs and GPUs will be twice as fast.But it’s the relative performance that matters. Next year’s $250 graphics card will likely outperform next year’s CPU by 20 times. Unless AMD or nVidia makes radical changes to their chip architectures, the next generation of the Radeon will still likely outperform the next generation of GeForce cards.Therefore, when you finally get around to buying that graphics card for password cracking, you’ll have to look on the web for password cracking benchmarks to see which card is currently giving the best price/performance ratio.Notebook GPUsThe above discussion have been for desktop computers that consume a lot of electricity. Pen-testers often don’t have that luxury -- they often only have a notebook (running something like BackTrack Linux). In that case, they want to buy a "mobile" version of the Radeon or GeForce chips. They can’t buy such chips as addons, but instead, have to choose a noteboook that has their desired chip.According to recent benchmarks, mobile Radeons are still faster than GeForces, but it’s highly variable. Notebook GPUs have an enormous range, as batttery life is traded for gaming speed. Thus, one notebook with a powerhungry GeForce may be a better choice than another notebook with a battery conserving Radeon. You’ll have to look at benchmarks, or theoretical numbers (based on clock speeds and core counts) to figure out which is best for your needs.Also note that there are three classes of laptops: the normal laptops, the low end netbooks, and the high-end gaming laptops. Historically, only the high-end gaming laptops contained graphics processors, but now graphics processors are appearing throughout a wider range.High-end gaming laptops are the best choice for password cracking power. The biggest ones have graphics processors that rival desktop cards. You can buy an Alienware M18x with a Radeon mobile GPU that is faster than all but the fastest desktop GPU. It’s also 18-inches across, weighs 8 pounds, lasts only a few minutes on battery, and costs $2400.GPUs are becoming more popular in average notebook computers. Asus makes some nice, average sized laptops with GeForce GPUs for a good price. Of particular note are the current MacBook Pros (15 inch or 17 inch) which come with a good Radeon GPU. The GPU is far slower than desktop GPUs, but of course, they don’t drain the battery, and don’t jack up the price. My MacBook Air has a GeForce GT320M that triples password cracking speed over the built-in processor (benchmarks below).Curiously, GPUs are becoming popular for cheap "netbook" computers. That’s because the low-power central processors do not handle video well. Therefore, manufacturers are including low-power GPUs for video. Some Intel netbooks have Intel graphics, which can’t (yet) be programmed for password cracking. Some contain nVidia’s ION graphics, which is hardly faster at cracking passwords than the Atom CPU. The best choice these days are the new AMD netbooks with the C-30, C-50, and E-350 processors that are a combination of x86 CPU with a Radeon GPU on the same lower-power chip. A $280 Asus EEE PC 1015B or an $430 HP dm1z are the best netbooks for pen-testers at the moment.What about FirePro, Quadro, and Tesla?Both AMD and nVideo make more expensive cards for high-end customers. These are actually the identical chips in the gaming cards, but sold for 10 times the price. They would be a foolish choice for password cracking.There is a reason for the higher price. The companies put features into the chips for high-end customers, then disable those features for gamers. Thus, if you are a graphics artist using software to draw the next 3D movie, the version with the high-end features enabled are probably worth the price. But these features mean nothing to password cracking. Indeed, the high-end chips are slightly worse at password cracking: because high-end customers care about reliability, they run the chips at speeds slight slower (and cooler) than for gamers.The more expensive version of the Radeon card is called "FirePro". The more expensive version of the GeForce card is called "Quadro".But, there is a third high-end version of the GeForce card called "Tesla". This is just like the "Quadro" card (all high-end features) enabled -- but it’s missing a the output port. You can’t connect a monitor to it. It’s purpose is just for GPU processing, like geological simulations to help find oil, or financial models to figure out the best stock price. Because they are missing the "display" portion, they use slightly less electrical power. People building supercomputers out of GPUs tend to choose the Tesla cards. If you rent "cloud computing" time using GPUs, they will probably be Tesla cards. I find this all a bit foolish -- GeForce or Radeon cards would be far more cost effective.GPUs vs. FPGA vs. ASICRather than doing password cracking in software, it should be possible to do it faster, cheaper, and with less electrical power using hardware like FPGAs or ASICs.While this works in theory, it doesn’t work so well in practice. CPUs and GPUs are so cheap because their manufacturers sell them in enormous quantity. You could design your own chip that is 100 times faster than a cheap GPU, but it would cost you 200 times as much, per chip.Some people do great things with hardware, such as Pico Computing, but most of the time, it’s just easier writing software[…]

Quella di questa mattina è una storia veramente brutta, una storia che fa paura. Se fosse una tragedia greca, sarebbe la “Medea” di Euripide. Se fosse un libro horror, sarebbe “IT” di Stephen King. Paura, eh? Siamo sul web, sono le 13:54 di domenica 19 giugno 2011 (fuso orario del Pacifico) e il team di Dropbox aggiorna il codice del proprio, apprezzatissimo, servizio. Tutto sembra essere andato per il verso giusto… ma non è così.
Quattro ore dopo, alle 17:41, il team si accorge che quell’aggiornamento è stato fatale. Ha lasciato le porte di Dropbox aperte a tutti i potenziali malintenzionati che, armati dell’indirizzo e-mail di un utente del servizio e inserendo una password qualsiasi per l’autenticazione (qualsiasi vale a dire anche nessuna password), avrebbero potuto infiltrarsi nelle cartelle Dropbox di chiunque.
(...)Continua a leggere Dropbox, un problema di sicurezza ha consentito l’accesso a tutti senza password per 4 ore, su Geekissimo
Dropbox, un problema di sicurezza ha consentito l’accesso a tutti senza password per 4 ore, pubblicato su Geekissimo il 21/06/2011
© naqern per Geekissimo, 2011. | Permalink | 11 commenti | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Internet, Sicurezza. Post tags: dropbox, falla, password, sicurezza password, spazio gratis, storage online

Il famigerato gruppo di hacker (o cracker) Lulz Security, balzato già agli onori della cronaca per aver rubato i dati di un milione di utenti del PlayStation Network e aver hackerato la home page di PBS.org, ha spiattellato in Rete 26.000 indirizzi e-mail e password di altrettanti ignari utenti provenienti da ogni parte del mondo. Fra questi, pare, ci siano anche molti indirizzi militari (.mil) e governativi (.gov).
La lista è ormai di pubblico dominio ed è stata realizzata rubando i dati di accesso di diversi siti a carattere pornografico. Se non visitate “sitacci” simili, dunque, non dovreste avere problemi. Ma molti altri sì. Al punto che conoscendo la cattiva abitudine di molti utenti che usano la stessa password per tutti i siti Internet a cui sono iscritti, il sito ZDNet ha invitato tutti i suoi lettori a dare un’occhiata al documento pubblicato da Lulz Security e ad accertarsi che i loro indirizzi non fossero finiti su piazza.
(...)Continua a leggere 26.000 indirizzi e-mail e password spiattellati in Rete: ecco cosa significa usare gli stessi dati di accesso ovunque, su Geekissimo
26.000 indirizzi e-mail e password spiattellati in Rete: ecco cosa significa usare gli stessi dati di accesso ovunque, pubblicato su Geekissimo il 14/06/2011
© naqern per Geekissimo, 2011. | Permalink | 11 commenti | Aggiungi su del.icio.us Hai trovato interessante questo articolo? Leggi altri articoli correlati nelle categorie Email, Sicurezza. Post tags: hacker, Lulz Security, password