Go to Top

Come proteggere al meglio il tuo mondo digitale. Usi password sicure?

Come fare password sicure

Con la diffusione dei dispositivi elettronici e di Internet sono parallelamente aumentati i servizi digitali di cui oggi possiamo usufruire, molti dei quali gratuiti. C’è tuttavia un problema. Poiché il numero di servizi ai quali possiamo registrarci è virtualmente infinito la maggior parte di noi si ritrova ben presto a dover gestire un numero infinito di accessi rappresentati da username e password.

Tra account di posta elettronica, di social network, di home banking, di siti di e-commerce, di portali dedicati ai nostri hobby, di forum di discussione e di tutti gli altri servizi online che abbiamo sottoscritto, il numero di password da ricordare diviene presto insostenibile anche per chi è dotato di ottima memoria.

Cos’è una password e cosa determina il suo livello di sicurezza

Una password può essere paragonata ad una chiave. Ci permette di entrare nel nostro account e quindi di usufruire in modo personalizzato del relativo servizio, così come una chiave ci consente di aprire una porta e di accedere a ciò che vi è dietro. Come esistono chiavi più o meno facili da duplicare e quindi di conseguenza più o meno sicure, allo stesso modo le password non sono tutte uguali.

Alla costruzione di una password è quindi necessario dedicare molta attenzione perchè alcune password sono meno sicure di altre e non vogliamo che qualcuno sia in grado di scoprirla facilmente e di accedere liberamente ai nostri servizi fingendo di essere noi con conseguenze anche pericolose.

Poiché una password altro non è che una sequenza di caratteri alfanumerici, la sua sicurezza è data dai seguenti fattori:

  • lunghezza – il numero di caratteri che compongono la password
  • complessità – il tipo di caratteri utilizzati (lettere maiuscole, minuscole, caratteri speciali, numeri)
  • imprevedibilità – la difficoltà di predire la password

Un recente e interessante report di Praetorian, società di consulenza in materia di information security, ha messo in evidenza come spesso le password scelte dagli utenti non abbiano un livello sufficiente di sicurezza e conseguentemente come sia piuttosto semplice per un hacker riuscire a identificarle adottando una semplice tecnica, chiamata mask attack.

Con questo metodo la password viene suddivisa nelle sue componenti ossia lettere maiuscole (u=upper), minuscole (l=lower), numeri (d=digit) e simboli (s=symbols). Nell’esempio portato da Praetorian la password “Password1234” è quindi riconducibile alla maschera “ullllllldddd”

Con questa tecnica Praetorian ha quindi analizzato oltre 34 milioni di password rubate, disponibili pubblicamente anche in seguito a famosi casi di furti . Il risultato incredibile è che il 50% delle password, ossia circa 17 milioni, utilizzava solo 13 differenti maschere!

L’analisi ha quindi spiegato questo risultato evidenziando che:

  • nel 90% dei casi la lettera in maiuscolo è sempre la prima lettera della password

  • quando sono richiesti dei numeri la maggior parte degli utenti ne usa 2 alla fine della password mentre la seconda scelta è di usarne 4 (generalmente l’anno in corso o quello appena passato)

È evidente che se è possibile ricondurre milioni di password a sole poche maschere per un hacker è piuttosto semplice riuscire a predirne la struttura e quindi arrivare a identificare la giusta password.

Tra i metodi più utilizzati citiamo il brute-force attack, che consistente nel generare tutte le combinazioni possibili fino a trovare quella giusta e il dictionary attack nel quale si utilizza una serie di password più probabili contenute in una lista, detta appunto dizionario.

Come creare una password sicura? Alcuni suggerimenti

A questo punto starete probabilmente iniziando ad avere seri dubbi sulla complessità delle password che avete scelto per buona parte dei servizi a cui siete registrati. Prima di correre ai ripari cambiandola, leggete i punti che seguono in modo da sostituirla con una migliore:

  1. la password dovrebbe essere lunga almeno 8 caratteri ma tra 12 e 14 è più sicura

  2. utilizzare per ogni account una password diversa, mai una password per tutti i servizi

  3. cambiare la password di frequente, ogni 6 mesi potrebbe essere un valido compromesso

  4. utilizzare sempre una combinazione di lettere (maiuscole e minuscole), numeri e simboli

  5. scegliere parole inventate e non parole di senso compiuto come quelle presenti in un dizionario

  6. non utilizzare informazioni personali come nomi di persone o di animali, date di nascita, anniversari

  7. non utilizzare sequenze consecutive di lettere o numeri es. abcde o 12345

  8. un’alternativa potrebbe essere l’uso di una passphrase invece di una password. Si tratta di un insieme di parole (frase di accesso) e differisce dalla password soprattutto per il numero di caratteri utilizzati, di conseguenza è più sicura. La passphrase dovrebbe essere lunga tra i 20 e i 30 caratteri, essere una frase composta da più parole e non essere tratta da frasi celebri come aforismi, canzoni o film famosi, testi letterari.

Tuttavia, anche la password più sicura deve essere protetta quindi come regola di base:

  1. non scrivere le password e non memorizzarle in un normale file di testo

  2. verificare di non essere osservati mentre si digita una password

  3. non condividere le password

Quanto sono sicure le tue password? Verificalo!

Sono nati diversi servizi web per aiutare gli utenti a misurare la sicurezza delle loro password. Questi servizi sono in grado di calcolare, sulla base dei parametri visti nei paragrafi precedenti, se una password è debole (weak) o forte (strengh) oppure di fornire il risultato in modo grafico con una barra colorata dal rosso (password non sicura) al verde (password sicura). Alcuni siti dove verificare le proprie password sono:

http://www.passwordmeter.com/

https://blog.kaspersky.com/password-check/

https://www.microsoft.com/es-xl/security/pc-security/password-checker.aspx

Password manager, una valida soluzione per la gestione delle password

Normalmente più una password è complessa e più sarà difficile da ricordare, per questo sono stati creati dei software appositi chiamati password manager per riuscire a gestire tale difficoltà.

Un password manager è un programma che organizza e memorizza tutte le password dei nostri servizi in un database crittografato. Il funzionamento è molto semplice, l’utente deve solo creare e ricordare una password complessa – chiamata master password – per poter accedere all’intero database delle sue password. Il database crittografato delle password può essere salvato sul computer locale oppure sul cloud e sincronizzato tra diversi dispositivi. Alcuni password manager offrono anche le funzioni di compilazione automatica dei form di accesso e la funzione di generazione di password.

L’uso di un password manager elimina del tutto la necessità di ricordare a memoria decine e decine di password ed è quindi fortemente suggerito per aumentare la sicurezza dei nostri account a patto ovviamente di costruire una master password veramente sicura.

Alcuni esempi di password manager sono KeePass, Dashlane, LastPass, 1Password ma potete scegliere il vostro password manager preferito, tra i tanti gratuiti o a pagamento, con una semplice ricerca su Internet.

Fonte immagine www.flickr.com: Linux password file, autore Christiaan Colen, licenza CC BY2.0

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *