L’Ascesa e Caduta degli Dei delle Password: La Discesa di Zia Gertrude nel Tunnel Senza Fine di Hash e Sale

Se Zia Gertrude capisse quanto è cruciale la sicurezza della sua ricetta segreta delle polpette, probabilmente assumerebbe un CISO per sorvegliare la sua cucina. E invece no, la sua ricetta—come la maggior parte delle password—vive in uno stato precario: un pezzetto di carta infilato sotto la teglia. E, proprio come la maggior parte di noi, sottovaluta le conseguenze di una pessima igiene delle password.

Indice dei Contenuti

Introduzione

Il Paradosso della Sicurezza delle Polpette di Zia Gertrude
Perché le Password Sono Ancora Importanti nel 2025

Lunghezza, Complessità e il Fattore Umano

Lungo vs Complesso: Un Dibattito Infinito
Esempi Reali: Password Craccate in Pochi Secondi
Standard e Best Practices: ISO, ENISA e NIST

I Pericoli Nascosti nella Conservazione delle Password

Hashing e Salting: La Metafora delle Polpette
Standard per gli Algoritmi di Hashing: PBKDF2, bcrypt e Argon2
Errori Comuni nel Salvataggio degli Hash

Archiviazione delle Password su Windows: La Saga di NTLM

Il Dilemma di NTLM: Un Hash del Passato
Il Database SAM e LSASS: Punti di Debolezza
Esempio Reale: EternalBlue e WannaCry

Archiviazione delle Password su Linux: Punti di Forza e Debolezze

/etc/passwd vs /etc/shadow: Due Facce della Stessa Medaglia
Credenziali Predefinite e il Problema dell’IoT
Chiavi SSH: Sicure ma Mal Gestite

Cattive Pratiche Trasversali ai Sistemi

Riutilizzo degli Hash nei Sistemi
Password nei File di Configurazione
Vulnerabilità nei Backup: Rischi Dimenticati

Password Manager: Il Male Minore

Vantaggi e Rischi dei Password Manager
Strumenti Popolari e Funzionalità
Esempi Reali di Breach ai Password Manager

Autenticazione a Due Fattori (MFA) e Passwordless Authentication

MFA: Un Male Necessario
Autenticazione Senza Password: Biometria, Chiavi di Sicurezza e Magic Links
Standard e Regolamenti: FIDO2 e PSD2

Le Password nel Mondo delle Applicazioni e dell’IoT

Gli Anelli Deboli nella Sicurezza dell’IoT
Sforzi Legislativi: EU Cybersecurity Act e CLS di Singapore
Lezioni dal Mirai e Altri Attacchi IoT

Come Password e Hash Sono Mal Salvati su Windows e Linux

Windows: NTLM, SAM e LSASS
Linux: /etc/shadow e Gestione delle Chiavi SSH
Problemi Comuni su Entrambi i Sistemi

Raccomandazioni per il Miglior Salvataggio di Password e Hash

Per Sistemi Windows
Per Sistemi Linux
Suggerimenti Trasversali

Considerazioni Finali

La Storia Senza Fine della Cybersecurity
Lezioni dalle Polpette della Zia Gertrude
Perché la Paranoia è la Tua Migliore Amica nella Sicurezza
Perché la Gestione delle Password Non è Solo un Problema dell’IT
Uno Sguardo al Futuro: Oltre le Password
La Ricetta delle Polpette della Cybersecurity
Parola Finale: Proteggere Più delle Polpette

1. Introduzione

Il Paradosso della Sicurezza delle Polpette di Zia Gertrude

Se Zia Gertrude capisse il ruolo critico che la sua ricetta segreta delle polpette ha nella diplomazia familiare, probabilmente la conserverebbe in una cassaforte biometrica protetta da scansioni retiniche e test della verità. Purtroppo, come molti di noi, vive beatamente inconsapevole delle conseguenze di una pessima gestione delle password. Che si tratti di un Post-it attaccato al frigorifero o di “Password123” riutilizzata su ogni account, la storia finisce sempre allo stesso modo: una violazione di dati, tanto scaricabarile, e magari anche qualche polpetta bruciata.

Perché le Password Sono Ancora Importanti nel 2025

Con tutto il clamore attorno all’autenticazione senza password, alla sicurezza multifattoriale e alla “magia” biometrica, si potrebbe pensare che le password siano ormai un ricordo del passato. E invece no: le password sono ancora la prima linea di difesa—e spesso la prima cosa che fallisce—nel proteggere informazioni sensibili. La loro persistenza è sia una benedizione che una maledizione, un po’ come l’insistenza di Zia Gertrude nell’aggiungere sempre troppo aglio a ogni piatto.

2. Lunghezza, Complessità e il Fattore Umano

Lungo vs Complesso: Un Dibattito Infinito

Nel mondo della cybersecurity, è un dibattito che non passa mai di moda: meglio una password lunga o una complessa? Come discutere se sia meglio il tè o il caffè, la risposta spesso dipende da chi la dà. Ma oggi il consenso è chiaro: le password lunghe (o meglio, le passphrase) vincono sulla complessità.

Una passphrase di 20 caratteri come GertrudeAdoraLeSuePolpettePiccanti2025! è infinitamente più difficile da craccare rispetto a un pasticcio corto e complesso come P@ssw0rd!. Perché? Perché la lunghezza aumenta esponenzialmente il numero di combinazioni necessarie per forzare la password con un attacco brute-force.

Esempi Reali: Password Craccate in Pochi Secondi

Facciamo un esempio concreto:

Password di sei caratteri, anche con complessità mista, possono essere craccate in meno di 10 secondi utilizzando GPU moderne.
Passphrase di dodici caratteri, anche senza simboli, potrebbero richiedere secoli per essere craccate.

Eppure, molti utenti scelgono ancora password come “123456” o “qwerty.” È l’equivalente digitale di lasciare le chiavi di casa sotto lo zerbino con un cartello al neon che dice: “Benvenuti, ladri.”

Standard e Best Practices

Il framework ISO/IEC 27001 e le linee guida di ENISA promuovono politiche robuste per le password. Raccomandano:

Password o passphrase di almeno 12-15 caratteri.
Evitare di forzare cambi frequenti di password (grazie, NIST SP 800-63).
Utilizzare password uniche per ogni account (non riciclare Gertrude2022! su 50 piattaforme diverse).

3. I Pericoli Nascosti nella Conservazione delle Password

Hashing e Salting: La Metafora delle Polpette

Pensate all’hashing come al processo di tritare le polpette di Zia Gertrude fino a ridurle in una pasta irriconoscibile. Il salting, invece, aggiunge un ingrediente extra, rendendo ancora più difficile ricostruire la ricetta originale. Tuttavia, se il sale viene conservato accanto alla pasta di polpette, gli attaccanti possono ancora risalire alla ricetta.

Standard per gli Algoritmi di Hashing

Quando si salvano password, affidatevi ad algoritmi moderni:

PBKDF2, bcrypt e Argon2 sono le migliori opzioni.
Evitate MD5 e SHA-1, che sono sicuri quanto una teiera di cioccolato.

4. Archiviazione delle Password su Windows: La Saga di NTLM

Il Dilemma di NTLM: Un Hash del Passato

L’affidamento di Windows al protocollo obsoleto NTLM è come se Zia Gertrude usasse ancora un tritacarne manuale del 1952. NTLM utilizza un hashing debole (MD4) senza salting, rendendolo ridicolmente insicuro. Nonostante sia stato sostituito da Kerberos nei sistemi moderni, NTLM persiste per “retrocompatibilità.”

Il Database SAM e LSASS

Windows salva gli hash delle password nel database SAM (%SystemRoot%\System32\config\SAM). Se gli attaccanti ottengono accesso a questo file, strumenti come Mimikatz possono estrarre le password più velocemente di quanto possiate dire “hash dump.”

Esempio Reale: EternalBlue e WannaCry

L’exploit EternalBlue, utilizzato dal ransomware WannaCry, ha dimostrato come gli attaccanti possano sfruttare le vulnerabilità SMB per accedere agli hash archiviati nel SAM o nei dump di memoria di LSASS.

5. Archiviazione delle Password su Linux: Punti di Forza e Debolezze

/etc/passwd vs /etc/shadow

Nei primi giorni di Unix, gli hash delle password erano archiviati in /etc/passwd, un file leggibile da tutti gli utenti. Nei sistemi moderni, gli hash sono stati spostati in /etc/shadow, accessibile solo dall’utente root. Tuttavia, configurazioni errate possono esporre /etc/shadow, trasformandolo in un banchetto per gli hacker.

Credenziali Predefinite e il Problema dell’IoT

I dispositivi IoT basati su Linux vengono spesso forniti con credenziali predefinite (admin/admin). Il botnet Mirai ha sfruttato queste debolezze, dirottando milioni di dispositivi per attacchi DDoS.

Chiavi SSH: Sicure ma Mal Gestite

Le chiavi SSH sono un’alternativa sicura alle password, a meno che:

Gli utenti non cifrino le chiavi private.
Le chiavi si diffondano incontrollatamente, concedendo accesso anche quando non è più necessario.

6. Cattive Pratiche Trasversali ai Sistemi

Riutilizzo degli Hash nei Sistemi

Utilizzare lo stesso hash su più sistemi è come riutilizzare la stessa salsa per condire sia la pasta che il dessert: è destinato a finire male.

Password nei File di Configurazione

Gli sviluppatori spesso salvano password in chiaro nei file di configurazione, ad esempio nel file wp-config.php di WordPress. È sicuro quanto scrivere la propria password sulla lavagna dell’ufficio.

Vulnerabilità nei Backup

Backup non cifrati che contengono file di password sono una bomba a orologeria. È come fotocopiare la ricetta di Zia Gertrude e lasciare copie in giro per i luoghi più disparati.

7. Password Manager: Il Male Minore

Vantaggi e Rischi

I password manager come 1Password e Bitwarden generano e archiviano password robuste. Tuttavia, non sono immuni dalle violazioni, come dimostrato dall’attacco a LastPass del 2022.

Legislazione e Conformità

In base al GDPR e al PDPA di Singapore, le organizzazioni devono proteggere adeguatamente le credenziali. Una violazione causata da una cattiva gestione delle password potrebbe portare a multe che farebbero piangere anche Zia Gertrude.

8. Autenticazione a Due Fattori (MFA) e Autenticazione Senza Password

MFA: Un Male Necessario

L’autenticazione a due fattori (MFA) combina password con qualcosa che possiedi (ad esempio, uno smartphone) o qualcosa che sei (ad esempio, un’impronta digitale). Anche se non è infallibile, rappresenta un notevole miglioramento rispetto all’uso delle sole password.

Autenticazione Senza Password

La biometria, le chiavi di sicurezza e i link magici sono considerati il futuro. Standard come FIDO2 e PSD2 stanno spianando la strada, ma ci sono ancora sfide da affrontare (ad esempio, la falsificazione biometrica o le chiavi smarrite).

9. Le Password nel Mondo delle Applicazioni e dell’IoT

Gli Anelli Deboli nella Sicurezza dell’IoT

I dispositivi IoT spesso utilizzano credenziali deboli o predefinite, rendendoli bersagli ideali per i botnet. Il Cybersecurity Act dell’UE e lo Schema di Etichettatura per la Sicurezza Informatica di Singapore mirano a migliorare gli standard.

10. Come Password e Hash Sono Mal Salvati su Windows e Linux

Windows: NTLM, SAM e LSASS

Le password archiviate negli hash NTLM sono vulnerabili agli attacchi offline. I file SAM e i dump di memoria di LSASS sono obiettivi comuni per gli attaccanti.

Linux: /etc/shadow e Gestione delle Chiavi SSH

Permessi configurati in modo errato su /etc/shadow possono esporre gli hash, mentre chiavi SSH non cifrate rappresentano un grave rischio negli ambienti aziendali.

Problemi Comuni

Su entrambe le piattaforme, crittografia debole, credenziali predefinite e controlli di accesso inadeguati sono problemi ricorrenti.

11. Raccomandazioni per un Miglior Salvataggio di Password e Hash

Per Sistemi Windows

Disabilitare NTLM ovunque sia possibile.
Abilitare Credential Guard per proteggere LSASS.

Per Sistemi Linux

Rafforzare /etc/shadow con permessi rigorosi.
Utilizzare algoritmi di hashing robusti come SHA-512.

Suggerimenti Trasversali ai Sistemi

Cifrare i backup e i file sensibili.
Eseguire regolarmente audit sui sistemi per identificare configurazioni errate.

12. Considerazioni Finali

La Storia Senza Fine della Cybersecurity

La cybersecurity, proprio come gli esperimenti culinari di Zia Gertrude, è un viaggio continuo. Proprio quando pensi di aver trovato la ricetta perfetta—che si tratti di polpette o di un sistema di autenticazione sicuro—qualcuno si presenta con un nuovo exploit, un nuovo vettore d’attacco o una lamentela per “troppo aglio.” Non sei mai davvero arrivato, e c’è sempre spazio per migliorare.

Nonostante i loro difetti e i critici, le password rimangono il pilastro della sicurezza digitale. Anche mentre ci muoviamo verso la biometria, l’MFA e l’autenticazione senza password, le password sono ancora il primo strato di difesa nella maggior parte dei sistemi. Sono economiche, versatili e terribilmente fallibili. Il punto? Non puoi permetterti di ignorarle, per quanto tu lo desideri.

Lezioni dalle Polpette di Zia Gertrude

Diciamolo: se Zia Gertrude trattasse la sua ricetta delle polpette come la maggior parte delle persone tratta le password, sarebbe già stata rubata, pubblicata online e stampata su ogni blog di cucina del pianeta. Ecco alcune lezioni che possiamo imparare da lei (e dalle sue ipotetiche pratiche di sicurezza):

Non Riutilizzare le Ricette (o le Password): Ogni piatto (o account) merita ingredienti unici. Riutilizzare le password è come riutilizzare la salsa di ieri—pigro e destinato a finire male.
Conserva la Ricetta Adeguatamente: Se vuoi proteggere qualcosa di importante, sia esso una ricetta o un hash di password, fallo nel modo giusto. Cifrala, conservala in modo sicuro e non lasciarla in giro alla mercé di occhi indiscreti.
La Paranoia è la Tua Migliore Amica: Zia Gertrude non affiderebbe la sua ricetta a chiunque, e neanche tu dovresti fidarti di chiunque abbia accesso ai tuoi sistemi. Zero Trust non è solo una parola di moda; è uno stile di vita.

Perché la Paranoia è la Tua Migliore Amica nella Sicurezza

La differenza tra un’organizzazione sicura e una compromessa spesso si riduce alla paranoia. Un po’ di sana diffidenza—nei confronti degli utenti, dei fornitori e persino dei propri sistemi—può fare molta strada. Implementare i principi di Zero Trust significa non fare affidamento su ipotesi obsolete su chi e cosa può essere considerato affidabile.

Pensaci:

Quel dipendente che insiste nel usare “Password1234!” perché “nessuno lo indovinerebbe”? La paranoia ti spingerebbe a imporre politiche più forti.
Quel sistemista che si rifiuta di ruotare le sue chiavi SSH? La paranoia ti porterebbe a eseguire audit e revocare gli accessi non necessari.
Quella strategia di backup che non viene aggiornata dal 2015? La paranoia ti spingerebbe a cifrarla e testarla regolarmente.

In breve, la paranoia è l’ingrediente segreto di una buona cybersecurity—insieme alla competenza tecnica e a un pizzico di umiltà.

Perché la Gestione delle Password Non è Solo un Problema dell’IT

È facile liquidare le password come un problema dell’IT, ma la verità è che riguardano tutti. Dai DPO che navigano nei campi minati della conformità come il GDPR e il PDPA di Singapore, ai CISO che bilanciano sicurezza e usabilità, fino ai dirigenti che cercano di proteggere i profitti—le password influenzano ogni livello di un’organizzazione.

Considera questo:

Una violazione dei dati causata da una scarsa igiene delle password può costare milioni in multe, cause legali e danni alla reputazione.
La fatica da password tra i dipendenti può portare a scorciatoie rischiose e costi elevati per il supporto tecnico.
Pratiche di gestione delle password deboli possono compromettere anche gli strumenti di sicurezza più avanzati.

Se la cybersecurity è uno sport di squadra, la gestione delle password è la palla su cui tutti devono tenere gli occhi.

Uno Sguardo al Futuro: Oltre le Password

Le password sono come le polpette di Zia Gertrude: amate, onnipresenti e imperfette. Mentre ci avviciniamo al futuro senza password, è importante ricordare che i nuovi metodi di autenticazione portano con sé le proprie sfide:

Biometria: Ottima per la comodità, ma vulnerabile a falsificazioni e irreversibilità. (Puoi cambiare una password; non puoi cambiare la tua faccia.)
MFA: Una solida aggiunta, ma non infallibile, poiché gli attaccanti trovano modi creativi per aggirarla (qualcuno ha detto SIM-swapping?).
Autenticazione Senza Password: Promettente, ma l’adozione è lenta e l’implementazione varia notevolmente tra sistemi e organizzazioni.

La chiave del successo non è abbandonare completamente le password, ma usarle saggiamente in combinazione con strumenti e pratiche di sicurezza moderne. Lo standard FIDO2 e iniziative come PSD2 in Europa sono passi nella giusta direzione, ma l’adozione diffusa richiederà tempo—e pazienza.

La Ricetta delle Polpette della Cybersecurity

Se la cybersecurity fosse una ricetta, potrebbe essere qualcosa del genere:

Ingredienti: Password lunghe e uniche, salate e hashate; abbinate a MFA e archiviazione cifrata.
Metodo: Mescolare paranoia con competenze tecniche, cuocere sotto i principi dello Zero Trust e servire con audit regolari e controlli di conformità.
Avvertenza: Evitare scorciatoie, come codificare password nei file di configurazione o riutilizzare credenziali, a meno che non ti piaccia spiegare violazioni al consiglio di amministrazione.

Parola Finale: Proteggere Più delle Polpette

Le password non sono solo stringhe di caratteri; sono le guardiane dei tuoi dati, della tua privacy e della tua reputazione. Che tu stia proteggendo la ricetta delle polpette di Zia Gertrude o il database clienti di una multinazionale, i principi rimangono gli stessi: tratta le tue password con rispetto, investi in pratiche di sicurezza solide e non smettere mai di imparare.

E ricorda sempre: quando hai dubbi, aggiungi più sale—sia agli hash che alle polpette di Zia Gertrude. Perché nella cybersecurity, come in cucina, è meglio essere eccessivamente cauti che finire con qualcosa di insipido—o compromesso.