Password: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 16:41, 3 dic 2020 modifica Antonellov90 (discussione \| contributi) 2 modifiche m Semplicemente password in parola d'accesso Etichette: Annullato Modifica visuale ← Differenza precedente		Versione attuale delle 08:43, 16 set 2025 modifica annulla 2001:b07:a5a:2171:1820:ca7b:c376:4f9c (discussione) →Strumenti e tecniche per la sicurezza
(55 versioni intermedie di 36 utenti non mostrate)
Riga 1: {{nota disambigua\|il programma di [[RTL 102.5]]\|Password (programma radiofonico)}} {{F\|crittografia\|maggio 2012\|Questa voce manca completamente di fonti}} Una '''parola d'accesso''' o '''parola d'ordine''' o '''chiave d'accesso'''<ref>Per i sinonimi italiani, si veda: [http://www.treccani.it/vocabolario/password_%28Sinonimi-e-Contrari%29/ Vocabolario Treccani dei sinonimi e dei contrari]</ref> - anche denominata con la [[locuzione]] inglese '''password''' - è, in ambito [[informatica\|informatico]] e [[crittografia\|crittografico]], una sequenza di [[carattere (informatica)\|caratteri]] [[alfanumerico\|alfanumerici]] utilizzata per accedere in modo esclusivo a una [[risorsa informatica]] (sportello [[Automated Teller Machine\|bancomat]], [[computer\|calcolatore]], connessione [[internet\|di rete]], casella della [[posta elettronica]], [[Rete informatica\|reti]], [[programma (informatica)\|programmi]], [[database\|basi dati]], ecc.) o per effettuare operazioni di [[crittografia\|cifratura]]. Si parla più propriamente di [[passphrase]] se la chiave è costituita da una frase o da una sequenza sufficientemente lunga di caratteri (non meno di 20/30).▼ [[File:Password Protected22.jpg\|thumb\|La maggior parte degli account e dei dispositivi informatici richiede l'impostazione di una password per l'accesso]] ▲Una '''password''' (in [[Lingua italiana\|italiano]] anche detta '''parola d'accesso''' o, '''parola d'ordine''', '''chiave d'accesso''' o '''~~chiave~~codice d'accesso'''<ref>Per i sinonimi italiani, si veda: [http://www.treccani.it/vocabolario/password_%28Sinonimi-e-Contrari%29/ Vocabolario Treccani dei sinonimi e dei contrari]</ref> ~~- anche denominata con la [[locuzione]] inglese '''password''' -~~) è, in ambito [[informatica\|informatico]] e [[crittografia\|crittografico]], una sequenza di [[carattere (informatica)\|caratteri]] [[alfanumerico\|alfanumerici]] e di simboli utilizzata per accedere in modo esclusivo a una [[risorsa informatica]] (sportello [[Automated Teller Machine\|bancomat]], [[computer~~\|calcolatore~~]], connessione [[internet~~\|di rete~~]], casella della [[posta elettronica]], [[Rete informatica\|reti]], [[programma (informatica)\|programmi]], [[database\|basi dati]], ecc.) o per effettuare operazioni di [[crittografia\|cifratura]]. Si parla più propriamente di [[passphrase]] se la chiave è costituita da una frase o da una sequenza sufficientemente lunga di caratteri (non meno di 20/30). ==Descrizione== Una ~~parola d'accesso~~password è solitamente associata a uno specifico ''[[nome utente]]'' ~~(o ''[[identificatore]] utente'')~~, al fine di ottenere un'identificazione univoca da parte del sistema a cui si chiede l'accesso. La coppia ''nome utente-~~parola d'accesso~~password'' fornisce le ''credenziali di accesso'' a una delle forme più comuni di [[autenticazione]]; tipico il suo uso nelle procedure di ~~[[Login\|~~accesso]] o "''[[login]]''". Dato lo scopo per il quale è utilizzata, la ~~parola d'accesso~~password dovrebbe rimanere segreta a coloro i quali non sono autorizzati ad accedere alla risorsa in questione. Non è consigliabile che una ~~parola d'accesso~~password sia costituita da una parola di senso compiuto. L'uso di parole d'ordine come forma di riconoscimento risale all'antichità, soprattutto in ambiente militare. Ad esempio le sentinelle di guardia erano solite chiedere una parola d'ordine a chi si avvicinava, e permettevano il passaggio solo a coloro che ne erano a conoscenza. In tempi più moderni, in ambienti di [[spionaggio]] e [[controspionaggio]], alla parola d'ordine doveva essere risposta una ''contro'' parola d'ordine. Odierni comuni esempi di utilizzo di ~~parole d'accesso~~password si hanno nei servizi bancari (i [[personal identification number\|PIN]] dei [[Carta di debito\|bancomat]] e delle carte di credito non sono altro che ~~parole d'accesso~~password numeriche), nell'ambito della [[telefonia mobile]] e in molti altri campi, spesso coperti dal carattere punto(•). === ~~Parole d'accesso~~Password dinamiche === {{vedi anche\|One-time password}} Un livello maggiore di sicurezza può essere raggiunto mediante parole d'accesso dinamiche: si tratta di parole d'accesso che variano automaticamente dopo un intervallo di tempo prefissato. In tal caso l'[[autenticazione]] al [[sistema (informatica)\|sistema]] si ottiene quando la parola d'accesso generata automaticamente e quella immessa dall'utente coincidono.▼ ▲Un livello maggiore di sicurezza può essere raggiunto mediante ~~parole d'accesso~~password dinamiche: si tratta di ~~parole d'accesso~~password che variano automaticamente dopo un intervallo di tempo prefissato. In tal caso l'[[autenticazione]] al [[sistema (informatica)\|sistema]] si ottiene quando la ~~parola d'accesso~~password generata automaticamente e quella immessa dall'utente coincidono. Nella sua forma più semplice tale meccanismo si basa, infatti, su una componente [[hardware]] ed una [[software]]: la parte software, un [[programma (informatica)\|programma]] in esecuzione su di un [[server]] o su un altro sistema da proteggere, genera delle parole d'accesso dinamiche a intervalli di tempo prefissati secondo un determinato [[algoritmo]]; la parte hardware, un dispositivo (ad esempio una [[smart card]] oppure un ''[[Token (sicurezza)\|Token]]'') nel cui [[firmware]] è codificato il medesimo algoritmo, è [[sincronizzazione\|sincronizzata]] con il server in modo da generare la medesima parola d'accesso nel medesimo intervallo di tempo.▼ ▲Nella sua forma più semplice tale meccanismo si basa, infatti, su una componente [[hardware]] ed una [[software]]: la parte software, un [[programma (informatica)\|programma]] in esecuzione su di un [[server]] o su un altro sistema da proteggere, genera delle ~~parole d'accesso~~password dinamiche a intervalli di tempo prefissati secondo un determinato [[algoritmo]]; la parte hardware, un dispositivo (ad esempio una [[smart card]] oppure un ''[[Token (sicurezza)\|Token]]'') nel cui [[firmware]] è codificato il medesimo algoritmo, è ~~[[sincronizzazione\|~~sincronizzata]] con il server in modo da generare la medesima ~~parola d'accesso~~password nel medesimo intervallo di tempo. == Norme elementari di sicurezza == {{Vedi anche\|Robustezza della password\|Password cracking}} * Nell'impostare una parola d'accesso è sconsigliabile l'uso di parole ovvie (come il proprio nome o cognome o altri [[anagrafe\|dati anagrafici]]), di senso compiuto o direttamente associabili all'[[account]] (come il ''nome utente'' stesso) come anche di parole troppo brevi (di solito per le ~~parole d'accesso~~password viene stabilito un numero minimo di caratteri dal momento che all'aumentare del numero di caratteri aumenta [[funzione esponenziale\|esponenzialmente]] il numero delle [[disposizione\|disposizioni]] possibili). * In generale è preferibile utilizzare una ~~parola d'accesso~~password complessa e memorizzarla (o, in subordine, annotarla in un posto sicuro) piuttosto che sceglierne una di facile memorizzazione ma di più facile determinazione. * È inoltre sconsigliabile utilizzare parole presenti nei dizionari, come anche [[anagramma\|anagrammi]] o combinazioni delle stesse (tale tipo di ~~parola d'accesso~~password sono quelle più facilmente attaccabili mediante [[metodo forza bruta\|attacchi di ''forza bruta'']]), mentre è consigliabile utilizzare [[combinazione\|combinazioni]] del maggior numero possibile di "tipi" di caratteri: maiuscoli, minuscoli, numeri e ''caratteri speciali''.<ref>{{Cita web\|url = http://www.corriere.it/foto-gallery/tecnologia/cyber-cultura/15_gennaio_21/25-password-usate-123456-qwerty-0368b712-a15c-11e4-8f86-063e3fa7313b.shtml\|titolo = Ecco le 25 password più usate\|accesso = 2015-10-24\|lingua = it\|sito = Corriere della Sera}}</ref> Anche le [[passphrase]], ovvero password costituite da più parole, sono molto sicure (ad esempio, “vado-in-vacanza-in-montagna”)<ref>{{Cita web\|url=https://biadets.com/blog/post/le-password-che-usi-sono-davvero-al-sicuro-scopri-come-proteggerti-meglio/\|titolo=Le password che usi sono davvero al sicuro? Scopri come proteggerti meglio}}</ref>. * È inoltre buona norma cambiare le ~~parole d'accesso~~password utilizzate dopo un tempo determinato e non utilizzare la stessa ~~parola d'accesso~~password per più servizi. * Si consiglia inoltre di non registrare le proprie ~~parole d'accesso~~password sul PCdispositivo, perché queste potrebbero essere scoperte tramite l'uso di semplici programmi. * Quando si termina di utilizzare un sito, occorre non limitarsi a chiudere la relativa finestra del ''browser'' (nel computer ''client'') perché la connessione rimane comunque aperta sul ''server'' del sito e un altro utente tramite lo stesso terminale (PC, smartphone. ecc) può entrare facilmente nel nostro ''account'' , digitandone l'indirizzo. Ciò vale soprattutto se ci si collega da un computer pubblico, oppure tramite il cellulare e computer personale ma collegati tramite una rete pubblica wireless non cifrata e non protetta da ~~parola d'accesso~~password personale. È invece necessario terminare la connessione, dal percorso ''nomeutente''>esci oppure da ''nomeutente''>disconnetti. Vari siti consentono di vedere le molteplici connessioni rimaste attive nel tempo da terminali fissi o mobili, e che insistono su un unico ''account'', per poi terminarle manualmente una per una: più raramente prevedono una opzione per cui l'ultimo utente che si connette automaticamente disconnette tutti gli altri, oppure una opzione di ''time-out'' che disconnette automaticamente dall~~<nowiki>~~{{'~~</nowiki>~~}}''account'' un terminale dopo alcune ore di inattività. * tramite un [[keylogger]] installato da terzi sul terminale personale è possibile registrare l'intera navigazione Internet, vale a dire ogni singolo carattere digitato con la tastiera e ogni click del ''mouse'' , ~~abbinadoli~~abbinandoli ai relativi siti, inclusi ~~utenti~~user e ~~parole d'accesso~~password di accesso. * Si sconsiglia l'utilizzo di ~~parole d'accesso~~password e l'invio di informazioni sensibili tramite connessioni non crittografate. Un utente malintenzionato può utilizzare strumenti per eseguire diversi attacchi tra cui man-in-the-middle e/o sniffing, ottenendo così l'accesso a tutte le informazioni scambiate. Durante la visualizzazione di una pagina web accertarsi di visualizzare un'icona con lucchetto verde, che significa che la connessione è crittografata.<ref>{{Cita web\|url = https://generatorepassword.win\|titolo = Generatore di password\|accesso = 2018-04-09\|lingua = it\|sito = Generatore Password\|urlarchivio = https://web.archive.org/web/20180614122113/https://generatorepassword.win/\|dataarchivio = 14 giugno 2018\|urlmorto = sì}}</ref> == Passwordless o Passkey == La password ha un'intrinseca vulnerabilità perché, specie quando è banale o fissa, può essere facilmente rilevata (infatti, è una delle operazioni più semplici per un attaccante ''cybercrime''). Per questo è sempre più diffusa l'autenticazione o l'identificazione mediante metodologie che fanno "a meno della password" (esperienza ''passwordless'' o ''passkey'') o, semplicemente, anche del nome utente. Una volta eseguita la registrazione o l'abbinamento sul servizio di autenticazione (tipicamente tramite una funzione del sistema operativo o utilizzando un account web che utilizza un certificato digitale), l'autorizzazione può essere fornita mediante: mail (codice stile OTP) o azione positiva su tasto nel testo del messaggio, telefonata, SMS e relativa azione positiva (OTP o testo risposta o rimando a collegamento a servizio web di raccolta autorizzazione), dispositivo hardware ([[Token (sicurezza)\|token]] stile gettone, token stile chiavetta con visualizzatore o tasto, chiavetta USB da inserire<ref>La chiavetta USB è formattabile inavvertitamente mentre la chiavetta dedicata non ha questo rischio ma ha quello che la pila di alimentazione possa scaricarsi; il token a gettone o scheda non hanno ambo gli inconvenienti.</ref>), app di autenticazione, telefonino ovvero il relativo token di sicurezza integrato (notifica via bluetooth o rete telefonica o wireless approvata o segno su bloccaschermo o PIN), NFC, VPN, codice QR, impronta biometrica, sequenza in bloccaschermo su monitor a tocco, riconoscimento facciale, servizio autenticazione di terze parti. A volte i singoli elementi possono agire congiunti (ma su 2 canali diversi), sia quando serve elevato tasso di sicurezza (operazioni critiche) sia per disporre di un eventuale recupero di emergenza quando uno dei due non fosse disponibile (ad esempio: lettura biometrica + PIN o consenso via notifica telefonino + OTP via chat). Perché la procedura passkey sia adeguata occorre che i vari dispositivi o servizi siano supportati da certificati firmati da autorità accreditate. Alcuni di questi strumenti richiedono che sia disponibile la connessione internet o telefonica o la batteria carica e questo potrebbe rappresentare un rischio (il token fisico stile gettone, ad esempio, supera questo inconveniente). Tali metodi possono richiedere anche un PIN durante il [[login]] per fornire l'autorizzazione (tipico quando si usano chiavi hardware di sicurezza) o il consenso nella notifica dello smartphone e comunque tutti necessitano di [[signup]] iniziale (enrollment). Come dice [[Microsoft]]<ref>{{Cita web\|url=https://learn.microsoft.com/it-it/entra/identity/authentication/concept-authentication-passwordless\|titolo=Opzioni di autenticazione senza password per Microsoft Entra ID\|accesso=25/02/2024}}</ref> "i metodi di autenticazione senza password sono più pratici, perché la password viene rimossa e sostituita con qualcosa che si possiede, una caratteristica fisica o un'informazione nota". Anche [[Google]] ed [[Apple]] incoraggiano il passwordless. Inoltre, è intrinsecamente molto più sicuro perché il malintenzionato deve avere o accesso fisico o possedere contemporaneamente più elementi di autenticazione in un certo istante e per un lasso di tempo brevissimo: invece la password è un solo elemento, scovabile da remoto, a volte facilmente aggirabile. Questo sistema rappresenta o integra un metodo MFA ma privo di credenziali con password (a parte quella che protegge l'eventuale app dedicata all'autorizzazione). Spesso è necessario che sia impostata qualche funzione del terminale identificato che fornisce l'autorizzazione (blocco schermo attivato e bluetooth abilitato del telefonino) o applicazione del dispositivo da accedere o una certa versione a salire di un determinato browser. Ovviamente, devono essere impostati altri terminali o elementi di autorizzazione ''passkey'' di riserva o procedure di recupero in caso di anomalie o guasti di quello principale o definitiva indisponibilità di indirizzo mail o numero di telefono per cessazione/chiusura/smarrimento utenza (aspetto spesso sottovalutato dalle persone). All'alleanza FIDO (Fast IDentity Online), organizzazione mondiale non-profit che sviluppa e promuove metodologie passkey sicure, partecipano, tra gli altri, Microsoft, Google, Apple. == Note == Riga 39 ⟶ 53: * [[Passphrase]] * [[Robustezza della password]] * [[Signup]] * [[Token (sicurezza)]] * [[Certificato digitale]] * [[Funzione crittografica di hash]] === Metodi per accertare la robustezza della password === Riga 61 ⟶ 78: == Altri progetti == {{interprogetto\|etichetta=password\|wikt=password\|preposizione=sulla}} == Collegamenti esterni == * Scegliere una [https://www.techxplore.it/computer/scegliere-una-password-sicura-consigli-degli-esperti/ '''Password Sicura''']{{Collegamenti esterni}} * {{Collegamenti esterni}} * {{FOLDOC\|\|password}} * {{Garzanti}} {{Controllo di autorità}} {{portale\|crittografia\|Sicurezza informatica}} [[Categoria:Crittografia]] [[Categoria:Terminologia informatica]] [[Categoria:~~Tecniche~~Controllo didegli ~~difesa~~accessi (informatica)]]