Scegliere una Password Sicura: Consigli degli Esperti

La Sicurezza delle Password: Superare Cattive Abitudini

Spesso per comodità, superficialità o pigrizia, finiamo per utilizzare password facili da memorizzare e ripeterle identiche per accedere a diversi servizi. Questo comportamento è quanto di più sbagliato, equiparabile a lasciare le chiavi di casa attaccate alla porta. Vediamo come creare password sicure e a prova di “scasso”.

Mi piace considerare le password come le chiavi della nostra Casa Digitale, una dimora virtuale costituita da computer, smartphone e tablet, dove custodiamo dati sempre più numerosi e importanti.

Tuttavia, nonostante la crescente importanza di questa “casa digitale”, persistiamo nell’utilizzare le password in modo insicuro. Mentre nessuno lascerebbe la chiave sulla porta uscendo di casa, con le password spesso compiamo proprio questo errore.

Errori Comuni da Evitare Nella Creazione delle Password:

Nel corso delle mie attività formative, ho notato numerosi errori ricorrenti nella gestione delle password.

Incredibilmente, ecco alcune delle password più utilizzate al mondo nel 2017, secondo Splash Data, rappresentando anche le peggiori scelte possibili:

1. 123456 (al primo posto dal 2013)
2. password
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. letmein
8. 1234567
9. football
10. iloveyou

La lista parla da sé e dimostra quanto spesso incorriamo in scelte poco sicure. Creare password robuste è fondamentale per proteggere la nostra “casa digitale” da accessi non autorizzati.

Evita l’Errore del “Password Reuse”:

Oltre all’utilizzo di password deboli, commettiamo spesso l’errore ancor più grave di riutilizzare la stessa password su diversi siti. Questa pratica, conosciuta come “password reuse”, rappresenta una delle vulnerabilità più serie a cui possiamo incorrere.

L’incidente di sicurezza su siti come Yahoo, LinkedIn e molti altri dimostra quanto un hacker possa violare i server di un sito e rubare tutte le password. Tuttavia, se utilizziamo la stessa password su altri siti, diventa estremamente facile per l’hacker sfruttarla. Addirittura, è possibile automatizzare questo processo utilizzando strumenti come Shard, una potente utility a riga di comando sviluppata per testare la presenza di una password in uso su servizi popolari come Facebook, LinkedIn, Reddit, Twitter o Instagram. Il codice sorgente di Shard è disponibile sulla repository di GitHub.

Prima di esaminare le regole per creare una password sicura, è essenziale comprendere COME le password vengono scoperte e la necessità di proteggerle da attacchi sempre più sofisticati.

Scopriamo le Tattiche di Furto delle Password:

Esistono diverse tecniche, talvolta sorprendentemente semplici, attraverso le quali le nostre password possono essere rubate:

1. Ingegneria Sociale: Questo include tecniche come phishing e password sniffing. Ciò avviene quando siamo ingannati da pratiche di ingegneria sociale, come messaggi fraudolenti, email fasulle o siti web contraffatti che si mimetizzano da siti legittimi, portandoci involontariamente a rivelare le nostre password.
2. Indovinare le Password: Un approccio basato su informazioni personali, come nomi, date di nascita o nomi di animali domestici. In questo caso, l’autore del furto potrebbe essere qualcuno vicino a noi, come un amico o un vicino di casa.
3. Attacco “Brute Force”: Questa tecnica implica la prova automatica di numerose password fino a trovare quella giusta. Strumenti come John the Ripper sono noti per questo approccio, che, sebbene richieda tempo e potenza di calcolo, può portare al risultato desiderato.
4. Intercezione di Password in Trasmissione: Molte persone comunicano le password via email, un metodo rischioso. Alcuni siti, dopo la registrazione, inviano un messaggio di benvenuto contenente username e password esposti “in chiaro”, esponendo le credenziali alla vulnerabilità.
5. “Shoulder Surfing”: L’osservazione di qualcuno mentre digita la password alle spalle.
6. Keyloggers: Installazione di programmi (trojan) che registrano tutto ciò che viene digitato sulla tastiera e inviano i dati all’hacker. Esistono anche keylogger basati su hardware che richiedono accesso diretto al computer della vittima.
7. Memorizzazione non Sicura delle Password: Scrittura su foglietti o salvataggio su file di testo con il nome ovvio “Password”.
8. Compromissione di Database: Hacker che violano un database contenente numerose password utente e utilizzano queste informazioni per attaccare altri sistemi in cui gli utenti hanno riutilizzato le stesse password (noto come “credential stuffing”). Un esempio è il data breach di LinkedIn (2012), che ha portato all’accesso non autorizzato agli account di LinkedIn, Twitter e Pinterest di Mark Zuckerberg, poiché utilizzava la stessa password su tutti questi servizi.

Creare una Password Sicura: Linee Guida Essenziali

La robustezza di una password dipende da diversi fattori chiave:

1. Lunghezza: Si consiglia di utilizzare almeno 12 caratteri. Una lunghezza maggiore aumenta significativamente la sicurezza della password.
2. Tipi di Caratteri Utilizzati:
   • Numeri (0-9): 10 tipi.
   • Lettere: 52 tipi (26 minuscole + 26 maiuscole).
   • Caratteri Speciali da Tastiera: (es. # &%?^) 33 tipi.

In totale, abbiamo a disposizione 95 tipi di caratteri. È consigliabile sfruttarli tutti, poiché un aumento nei tipi di caratteri porta a un incremento esponenziale delle possibili combinazioni, come illustrato nella tabella sottostante. La colonna “Tempo” mostra il tempo stimato necessario per un attacco “brute force” con un computer in grado di provare un miliardo di chiavi al secondo.

Quindi, le Linee Guida Sono:

• Utilizzare tutti i 95 tipi di caratteri disponibili.
• Creare una password di almeno 12 caratteri.

Seguendo queste indicazioni, si aumenta notevolmente il numero di combinazioni possibili, migliorando la sicurezza dell’account e riducendo significativamente il rischio di accessi non autorizzati.

Il Decalogo per una Password Sicura:

Riassumiamo le fondamentali regole per creare una password sicura e robusta:

1. Sempre Diversa: Evita di utilizzare la stessa password per account diversi. “Non puoi evitare che il tuo provider venga violato, ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dell’utilizzo di una sola password”.
2. Lunga: Scegli una password di almeno dodici caratteri, o preferibilmente di più.
3. Mista: Utilizza tutti i tipi di caratteri disponibili, inclusi lettere maiuscole e minuscole, numeri e caratteri speciali.
4. Senza Senso: Evita nomi, parole o parti di parole facilmente rintracciabili in un dizionario in qualsiasi lingua.

Errori da Evitare nella Creazione di una Password:

• Sequenze o Caratteri Ripetuti: Evita combinazioni come 12345678, 222222, abcdefg o lettere adiacenti sulla tastiera (qwerty).
• Parole Scritte al Contrario, Errori di Ortografia e Abbreviazioni.
• Modificazioni Ovvie alla Password: Trucchi come sostituire “a” con “@”, “e” con “&” o “3”, “s” con “$” sono banali e ben noti agli hacker.
• Informazioni Personali o Familiari: Evita l’inclusione di nome, compleanno, numero di patente o passaporto e altre informazioni personali facilmente accessibili o deducibili.

La Soluzione per le Password Sicure: Password Manager e Generatori

Per garantire la massima sicurezza, è fondamentale utilizzare password sempre diverse e altamente complesse. Ma come possiamo gestire e ricordare l’ampia varietà di password richieste oggi?

La soluzione consigliata, sia da me che da esperti come Troy Hunt (come citato nell’articolo), è semplice ed efficiente: l’utilizzo di un password manager.

Questo software consente di gestire tutte le password per vari siti e applicazioni attraverso una singola password centrale, quella del password manager. Una volta inserita, questa password centrale consente l’accesso a tutte le altre senza la necessità di ricordarle costantemente. È uno strumento estremamente utile e fortemente raccomandato, soprattutto considerando che spesso gestiamo decine di password, alcune delle quali sono estremamente sensibili (come Internet Banking, Account Aziendali, Email, ID Apple o Google, collegati agli smartphone, servizi Cloud).

Un’alternativa per creare password efficaci è l’uso di un generatore di password, un software che produce password casuali in modo rapido e semplice. Questo metodo consente di generare password sicure di almeno 8 caratteri o più.

Come Verificare se le Credenziali Sono State Violate: Have I Been Pwned

Per scoprire se le nostre credenziali sono state compromesse, l’esperto australiano di cybersecurity, Troy Hunt (menzionato in precedenza), ha creato un servizio prezioso chiamato haveibeenpwned.com (traducibile come “Sono stato violato?”).

Questo sito classifica i più significativi data breach degli ultimi anni, archiviando oltre 5 miliardi di account compromessi. Basta inserire il proprio username e fare clic sul pulsante “pwned?” per verificare se il nostro account è stato coinvolto in un qualche incidente informatico. In caso affermativo, lo schermo diventa rosso con la scritta “Oh no — pwned!” e vengono elencati i “Breaches you were pwned in”, ovvero gli incidenti in cui il nostro account è stato coinvolto. Viene fortemente consigliato cambiare immediatamente la password dell’account compromesso.

Il sito è sicuro e ben noto, tanto che viene anche utilizzato dal browser Chrome attraverso un’estensione dedicata chiamata “PassProtect”. Questa estensione verifica automaticamente nel database di Have I Been Pwned se la password inserita nel browser è stata compromessa, fornendo un avviso se non è sicura.

Un servizio utile e sicuro che consiglio senza riserve.