Non passa giorno che non vi sia un nuovo data leak. Un’emorragia continua che gli analisti di sicurezza guardano con preoccupazione perché potrebbe innescare reazioni a catena. Ma andiamo con ordine. I data leak sono letteralmente delle perdita di dati, spesso sensibili, che vanno dalle dichiarazione fiscali degli italiani del 2005 ai famosi e più recenti “Panama Papers”.
Ed è proprio di questi ultimi giorni il data leak di diversi milioni di password prelevate dal portale “VK.com”: il Facebook russo. Gli analisti riferiscono che le password trafugate erano per giunta scritte in chiaro, senza alcuna forma di cifratura. Per ovviare a queste problematiche, tutti i siti che richiedono la registrazione degli utenti, e che quindi archiviano le loro credenziali (tipicamente username e password), dovrebbero gestire tali credenziali in modo sicuro. Le buone pratiche prevedono l’utilizzo di quelle che in gergo matematico vengono chiamate “funzioni one-way” o di “hashing crittografico”. Funzioni che fanno corrispondere ad ogni password una serie di caratteri casuali, dai quali è computazionalmente impossibile risalire alla password originaria.
Gli algoritmi che implementano tali funzioni sono ben noti e tipicamente appartengono alla famiglia degli algoritmi “Secure Hashing Algorithm” , elaborati dall’Nsa e adottati dal Nist in Usa. Si parte dallo SHA256, evitando come la peste SHA1 e MD5, si applicano i “salt” ed i cicli di hashing. Infatti, grazie a tecniche consolidate nel tempo quali attacchi del dizionario e rainbow table e soprattutto all’enorme potenza di calcolo, a prezzi popolari, messa a disposizione dai moderni Cloud, è diventato molto più semplice attaccare anche le password in questa forma “criptata”.
Ma c’è dell’altro, purtroppo. Ogni data leak di (milioni di) password va a rimpolpare i “dataset” che vengono utilizzati dai Cyber criminali per rompere le funzioni one-way. Se il dataset è ampio, è probabile che l’utente attaccato abbia utilizzato una password che è già annoverata in quel dataset. E la vittima questa volta è proprio Mark Zuckerberg, padre-padrone di Facebook, che grazie ad un data leak di Linkedin.com, datato 2012, si è visto letteralmente rubare il proprio account Twitter, la cui password era “dadada”. Una vera e propria debacle di Zuckerberg che dimostrerebbe una certa superficialità nella gestione dei proprio account (“dadada” non è certo una password sicura) che ci auguriamo non si riproponga nella sicurezza di Facebook.
Ma c’è speranza di contrastare il fenomeno dei data leak? Poca. L’unica arma, vecchia come il mondo, è adottare una corretta politica di gestione delle credenziali sia lato enterprise che utente. Per gli utenti le regole sono sempre le stesse: utilizzare un password wallet (delle casseforti virtuali di password), delle password di lunghezza adeguata con almeno 10 caratteri e di tipo casuale, autenticazione forte con SMS sul proprio smartphone (autenticazione a due fattori ) e non scrivere mai le password sul post-it attaccato al monitor.