Sicurezza dei sistemi informatici: le password

L'identificazione e l'autenticazione sono il processo di riconoscimento e verifica degli utenti. L'informazione ottenuta durante tali fasi viene generalmente usata per determinare a quali risorse di sistema è consentito l'accesso agli utenti. Per la precisione:

l'identificazione è l'asserzione della propria identità

l'autenticazione è la dimostrazione della propria identità

l'autorizzazione accorda determinati privilegi ad una certa identità

Per autenticare un utente ci sono tre categorie di elementi da cui un sistema di autenticazione può dipendere:

qualcosa che l'utente sa (per esempio una password, un Personal Identification Number, una passphrase);

qualcosa che l'utente ha (per esempio un token, una smart card, un certificato, un generatore di password one-time);

qualcosa che l'utente è (per esempio le impronte digitali, la retina, la voce e altri dati biometrici);

Le password sono lo strumento basilare per l'autenticazione in modo da evitare intrusioni indesiderate nel proprio sistema Linux.
Solitamente si sceglie una password facile da ricordare, ma questo comporta una password altrettanto facile da individuare; un cracker, utilizzando un attacco di dizionario, che consiste nel cercare di eseguire il login ad un sistema utilizzando come password le parole più comuni del dizionario inglese o italiano, non ha molte difficoltà ad individuare velocemente le password. Solitamente questo attacco è automatizzato in modo da effettuare moltissimi tentativi di accesso in poco tempo. Per questo motivo la scelta di buone password è un elemento fondamentale della configurazione del sistema Linux.

Ecco alcuni criteri da seguire per creare delle buone password:

Non utilizzare mai nessuna variazione del proprio nome o del proprio username. Una password basata sul nome utente è sempre facilmente identificabile.
Non utilizzare una parola presente nel dizionario anche se con l'aggiunta di punteggiatura o di numeri.
Non utilizzare nomi di alcun genere.
Non utilizzare una serie di lettere o numeri contigui sulla tastiera come "QWERTYU" o "09876543".

Un consiglio per scegliere delle buone password è quello di considerare solo la lettera iniziale di ogni parola di una frase facile da ricordare, con l'accorgimento che la frase scelta deve riguardare solo il singolo utente, ad esempio una frase della propria home page non andrebbe bene.

PASSWORD      FRASE
Lm6nèsfif           La mia 600 non è sporca fa i fanghi
Hb2Ci1m            Ho bruciato 200 CD in 1 mese

In questo modo le password sembrano incomprensibili ma sono facili da ricordare.
La password si imposta dalla shell tramite il comando passwd o yppasswd e dovrà essere lunga almeno 6 caratteri. Inoltre, se passwd o yppasswd utilizzano la libreria Cracklib, verrà stabilito se la password è facile da scoprire con un attacco di dizionario; in tal caso la nuova password sarà rifiutata.
Purtroppo anche le migliori password possono essere scoperte da un cracker che ha abbastanza tempo per fare tentativi.
La modifica periodica delle password è quindi sempre una buona idea. A tale scopo le password di Linux possono essere impostate con una data di scadenza oltre la quale l'utente é obbligato a cambiarla.