Una password è perfetta solo se è imprevedibile e difficilmente memorizzabile.
Uno dei metodi più comuni utilizzati per entrare nei sistemi informatici è prendere un elenco di utenti e provare a indovinare le loro password. Un programma può facilmente provare ad abbinare il nome dell’utente con soprannomi comuni, il numero di telefono dell’utente e qualsiasi parola trovata in un dizionario standard.
E’ incredibile come nel 2021 le 3 password più usate in Italia sono state ancora “123456“, “123456789“, “12345” (per curiosità, puoi curiosare nell’elenco completo delle password più usate qui).
Uno dei maggiori punti di forza di una password deriva dalla sua varietà. Ci sono 47 tasti sulla tastiera standard che hanno due possibili caratteri di output utilizzabili in una password, per un totale di 94 possibili caratteri che puoi usare. Più si usa questa varietà, meno è probabile che qualcuno indovini la tua password rapidamente.
Un altro dei maggiori punti di forza di una password deriva dalla sua lunghezza. La teoria delle probabilità ci dice che ogni carattere aggiuntivo in una password moltiplica la quantità di lavoro che un computer deve fare per indovinare e violare la password. Per esempio, una password di tre caratteri composta solo da caratteri dalla A alla Z (in maiuscolo o minuscolo) può essere indovinata in poco più di 140.000 tentativi. Una password di 8 caratteri che utilizza potenzialmente l’intero spazio di 94 caratteri richiederebbe oltre 722 quadrilioni (1 quadrilione = 1.000 trilioni) di tentativi. Puoi controllare da solo su siti come questo.
Consigli per la scelta di una password sicure
Avere una password perfetta non richiede nulla di trascendentale: i consigli che troverai sono consigli che hai già visto in molti siti in fase di registrazione.
- Usa più caratteri possibile (almeno 15 caratteri);
- Utilizza almeno due lettere maiuscole (A-Z), almeno due lettere minuscole (a-z), una cifra (0-9) e un carattere di punteggiatura (come punto, virgola, trattino, ecc.)
- Usa parole inventate che non potrebbero mai essere trovate in nessun dizionario (anche di lingua straniera)
Cosa NON fare
- inserire caratteri speciali esclusivamente all’inizio o alla fine della password
- utilizzare palindromi (sequenze di caratteri uguali avanti e indietro)
- includere sequenze di tre o più caratteri (come aaa)
- utilizzare una sequenza di numeri identificabile (schemi come codice fiscale, data di nascita, numero di telefono, codice postale, ecc.)
- includere nulla nelle informazioni del tuo account, come l’indirizzo e-mail o le iniziali
- usare una parola comune o qualsiasi parola che può essere trovata in un dizionario italiano, inglese o di altra lingua straniera
- usare nomi propri o personaggi di fantasia
- utilizzare una semplice sequenza di caratteri della tastiera da sinistra a destra o da destra a sinistra
- usare in generale qualsiasi testo che si può trovare facilmente in database o su siti online (es. nomi di serie TV, Film, Videogames)
Seguendo questi consigli ci si ritrova facilmente con password del tipo M@5t3Rp@$$w0rd1956. In altre parole, “The only secure password is the one you can’t remember”: in questa frase, che è il titolo di un famoso articolo di Troy Hunt del 2011, c’è la sintesi del problema: dobbiamo usare password impossibili da ricordare.
Il concetto di passphrase
Una password è sicura solo se sei l’unica persona che la conosce. Poiché le password complesse sono difficili da ricordare, le persone spesso le scrivono da qualche parte, oppure scelgono password meno complesse. Per semplificare, potresti trovare utile usare le passphrase al posto delle password.
Una passphrase è un tipo di password costituito da più parole che possono formare una frase o un’altra serie di parole in un determinato contesto che è facile da ricordare per l’utente. È simile alle password più brevi in uso, ma una passphrase può essere lunga fino a 100 caratteri e offrire una protezione aggiuntiva quando necessario. Possono essere utilizzate come firma digitale o per crittografare i messaggi e sono spesso utilizzati da importanti sistemi vulnerabili agli hacker esterni.
Mentre una password è generalmente composta da 10-18 caratteri, una passphrase è in genere di almeno 20-40. Per mantenere la sicurezza, non dovrebbe essere una frase comune o presa dalla letteratura o dalla cultura e non dovrebbe essere qualcosa con un significato ovvio per l’utente o qualcosa che può essere facilmente identificato, anche da persone che conoscono l’utente.
Poiché la sicurezza di una passphrase deriva in genere dalla sua lunghezza, le passphrase possono essere un problema per chiunque abbia bisogno di inserire la propria password frequentemente durante il giorno. Considera sempre l’impatto che l’uso di una passphrase lunga avrà sulla tua giornata prima di selezionarne una e compensa l’eventuale riduzione della lunghezza con un aumento della complessità (come lo scambio di caratteri letterali con caratteri speciali)
Come creare una passphrase perfetta
Ecco tre semplici modi per creare una passphrase sicura e facile da ricordare:
- Crea una passphrase prendendo una breve frase e:
Modifica le minuscole/maiuscole di alcune lettere
Sostituisci alcune lettere con caratteri numerici e simboli ($ per S, 8 per B)
Inserisci errori ortografici o abbreviazioni di alcune parole (ad esempio, la frase “il tè freddo è ottimo per l’estate” diventa “!lTefr3d0e8im0XlE5T4t3”.) - Scegli più parole corte e inserisci dei numeri in mezzo, quindi modificale con lettere maiuscole e simboli sostitutivi.
- Scegli una citazione o una frase memorabile e usa solo la prima lettera di ogni parola. variandone la
capitalizzazione. Includi anche numeri e simboli, come sostituzioni per lettere o in sostituzione di parole intere.
Devo proprio modificare tutte le mie password?
Se le tue password non rispettano le regole fin qui dette, è meglio cambiarle subito. Come per la maggior parte delle persone, probabilmente la tua password non è molto sicura. Usare una password facile da indovinare ti rende più vulnerabile agli attacchi degli hacker.
Le tecniche che gli hacker usano per attaccarti
Normalmente gli hacker cercano di attaccare attraverso tre modi.
Cercano di accedere ai tuoi account usando le password più comuni: gli hacker riescono a trovare facilmente il modo per introdursi negli account provando alcune delle password più comuni, come 123456 o la stessa parola password. Se utilizzi una di queste password e il tuo account non è ancora stato violato, faresti bene a comprare un biglietto della lotteria, perché sei una delle persone più fortunate al mondo.
Usando attacchi di forza bruta: se il tuo nome utente viene esposto durante una fuga di dati, gli hacker possono utilizzare i cosiddetti “attacchi di forza bruta” per decrittare i dati. Utilizzando un programma, utenti malintenzionati possono provare tutte le password possibili (testando centinaia di migliaia di possibili opzioni) fino a quando non individuano quella giusta. Anche se hai usato una combinazione di lettere maiuscole e minuscole e caratteri speciali, le tecnologie moderne consentono di violare una password di 8 caratteri in circa due ore (!).
“Riciclando” le credenziali: una volta che gli hacker o gli spammer hanno scoperto il nome utente e la password di un account, possono facilmente provare queste credenziali in tutti gli altri account dello stesso utente. Se hai riciclato le credenziali (ovvero, se hai usato lo stesso nome utente e la stessa password per altri siti o servizi), gli autori dell’attacco avranno trovato la chiave d’accesso a tutti i tuoi account che condividono queste credenziali.
Vuoi controllare quali tue password sono ormai conosciute dal mondo del dark web? Questo sito è stato fotto proprio per questo scopo.
Un piccolo trucco che semplifica la creazione di password perfette
Avere una passphrase diversa per ogni account che abbiamo che rispetti le regole qui dette e ricordarla perfettamente è chiaramente complesso, se non impossibile.
Possibile non si possa ricordare una sola passphrase e accedere in sicurezza a tutti i tuoi siti?
In realtà con l’aiuto di software specifici si può.
I Password Manager sono programmi e app che archiviano in modo sicuro e crittografato le credenziali (username e password) di accesso ai servizi web (e non solo) in una sorta di cassaforte (“Vault”) virtuale, rendendola disponibile all’utente quando ne avrà bisogno. La cassaforte però è chiusa e per accedervi serve inserire la passphrase che solo tu conosci.
Non combattere la guerra contro gli hacker da solo
Quando vuoi vincere una guerra, non vai in battaglia solo e poco preparato.
La tua azienda ha probabilmente diversi dispositivi nei quali vengono inseriti password a cui mancano patch di sicurezza e configurazioni corrette e monitorate 24/24.
E’ normale, non è questo il focus della tua attività, e hai altro da fare. Ma purtroppo questi device possono essere attaccati dall’esterno per poi essere usati per rubare i tuoi dati, modificarli, bloccare la tua attività fino al pagamento di un riscatto o, peggio, metterne a rischio l’esistenza.
Fortunatamente si può mitigare questi rischi attraverso le giuste competenze.
Se ti è piaciuto questo articolo, puoi approfondire questo argomento leggendo articoli come questo. Iscriviti alla newsletter relativa alla Security semplicemente compilando la form qui a fianco.