Con la diffusione dei dispositivi elettronici e di Internet sono parallelamente aumentati i servizi digitali di cui oggi possiamo usufruire, molti dei quali gratuiti. C’è tuttavia un problema. Poiché il numero di servizi ai quali possiamo registrarci è virtualmente infinito la maggior parte di noi si ritrova ben presto a dover gestire un numero infinito di accessi rappresentati da username e password.
Tra account di posta elettronica, di social network, di home banking, di siti di e-commerce, di portali dedicati ai nostri hobby, di forum di discussione e di tutti gli altri servizi online che abbiamo sottoscritto, il numero di password da ricordare diviene presto insostenibile anche per chi è dotato di ottima memoria.
Cos’è una password e cosa determina il suo livello di sicurezza
Una password può essere paragonata ad una chiave. Ci permette di entrare nel nostro account e quindi di usufruire in modo personalizzato del relativo servizio, così come una chiave ci consente di aprire una porta e di accedere a ciò che vi è dietro. Come esistono chiavi più o meno facili da duplicare e quindi di conseguenza più o meno sicure, allo stesso modo le password non sono tutte uguali.
Alla costruzione di una password è quindi necessario dedicare molta attenzione perché alcune password sono meno sicure di altre e non vogliamo che qualcuno sia in grado di scoprirla facilmente e di accedere liberamente ai nostri servizi fingendo di essere noi con conseguenze anche pericolose.
Poiché una password altro non è che una sequenza di caratteri alfanumerici, la sua sicurezza è data dai seguenti fattori:
- lunghezza – il numero di caratteri che compongono la password
- complessità – il tipo di caratteri utilizzati (lettere maiuscole, minuscole, caratteri speciali, numeri)
- imprevedibilità – la difficoltà di predire la password
Un recente e interessante report di Praetorian, società di consulenza in materia di information security, ha messo in evidenza come spesso le password scelte dagli utenti non abbiano un livello sufficiente di sicurezza e conseguentemente come sia piuttosto semplice per un hacker riuscire a identificarle adottando una semplice tecnica, chiamata mask attack.
Con questo metodo la password viene suddivisa nelle sue componenti ossia lettere maiuscole (u=upper), minuscole (l=lower), numeri (d=digit) e simboli (s=symbols). Nell’esempio portato da Praetorian la password “Password1234” è quindi riconducibile alla maschera “ullllllldddd”
Con questa tecnica Praetorian ha quindi analizzato oltre 34 milioni di password rubate, disponibili pubblicamente anche in seguito a famosi casi di furti . Il risultato incredibile è che il 50% delle password, ossia circa 17 milioni, utilizzava solo 13 differenti maschere!
L’analisi ha quindi spiegato questo risultato evidenziando che:
-
nel 90% dei casi la lettera in maiuscolo è sempre la prima lettera della password
-
quando sono richiesti dei numeri la maggior parte degli utenti ne usa 2 alla fine della password mentre la seconda scelta è di usarne 4 (generalmente l’anno in corso o quello appena passato)
È evidente che se è possibile ricondurre milioni di password a sole poche maschere per un hacker è piuttosto semplice riuscire a predirne la struttura e quindi arrivare a identificare la giusta password.
Tra i metodi più utilizzati citiamo il brute-force attack, che consistente nel generare tutte le combinazioni possibili fino a trovare quella giusta e il dictionary attack nel quale si utilizza una serie di password più probabili contenute in una lista, detta appunto dizionario.
Come creare una password sicura? Alcuni suggerimenti
A questo punto starete probabilmente iniziando ad avere seri dubbi sulla complessità delle password che avete scelto per buona parte dei servizi a cui siete registrati. Prima di correre ai ripari cambiandola, leggete i punti che seguono in modo da sostituirla con una migliore:
-
la password dovrebbe essere lunga almeno 8 caratteri ma tra 12 e 14 è più sicura
-
utilizzare per ogni account una password diversa, mai una password per tutti i servizi
-
cambiare la password di frequente, ogni 6 mesi potrebbe essere un valido compromesso
-
utilizzare sempre una combinazione di lettere (maiuscole e minuscole), numeri e simboli
-
scegliere parole inventate e non parole di senso compiuto come quelle presenti in un dizionario
-
non utilizzare informazioni personali come nomi di persone o di animali, date di nascita, anniversari
-
non utilizzare sequenze consecutive di lettere o numeri es. abcde o 12345
-
un’alternativa potrebbe essere l’uso di una passphrase invece di una password. Si tratta di un insieme di parole (frase di accesso) e differisce dalla password soprattutto per il numero di caratteri utilizzati, di conseguenza è più sicura. La passphrase dovrebbe essere lunga tra i 20 e i 30 caratteri, essere una frase composta da più parole e non essere tratta da frasi celebri come aforismi, canzoni o film famosi, testi letterari.
Tuttavia, anche la password più sicura deve essere protetta quindi come regola di base:
-
non scrivere le password e non memorizzarle in un normale file di testo
-
verificare di non essere osservati mentre si digita una password
-
non condividere le password
Quanto sono sicure le tue password? Verificalo!
Sono nati diversi servizi web per aiutare gli utenti a misurare la sicurezza delle loro password. Questi servizi sono in grado di calcolare, sulla base dei parametri visti nei paragrafi precedenti, se una password è debole (weak) o forte (strengh) oppure di fornire il risultato in modo grafico con una barra colorata dal rosso (password non sicura) al verde (password sicura). Alcuni siti dove verificare le proprie password sono:
Cosa sono i password manager
Avete mai sentito parlare del termine “password manager”? Sapete di cosa si tratta e quale potrebbe essere la loro utilità?
Il password manager sono, sostanzialmente, utility o app che vi permettono una gestione più agevole, snella, fluida e sicura di tutte le vostre password e di tutte le vostre credenziali. In un momento storico in cui la presenza online è quotidiana, sono numerosissimi gli account che dobbiamo memorizzare. Da quelli relativi ai vari social network fino a quelli delle caselle di posta elettronica, è essenziale evitare di utilizzare sempre il medesimo username e password . In questo caso infatti si tenderebbe ad essere decisamente più vulnerabili ad attacchi esterni.
Dal momento quindi che la sicurezza informatica deve necessariamente avere la priorità e le varie credenziali di accesso devono essere sempre diverse, e possibilmente molto complesse (lunghe e composte da tanti codici alfanumerici), il password manager può rivelarsi un eccezionale alleato per aiutarci nella loro gestione.
I password manager sono appositi software che permettono di salvare le varie chiavi d’accesso per tutti i servizi normalmente utilizzati online.
Come funzionano i password manager?
Le varie credenziali d’accesso vengono salvate all’interno di un archivio fisico oppure di un server cloud. Nel momento in cui dovremo effettuare il login in un determinato sito o a una determinata app, il password manager compilerà automaticamente i campi del nome utente e della password attraverso la cosiddetta funzione di “form filler”.
Le credenziali di accesso che dovremo invece sempre memorizzare saranno quelle necessarie ad accedere proprio al password manager, e potranno essere composte semplicemente da una “passphrase”, ossia una frase di accesso.
Il principale vantaggio che i password manager ci garantiscono è quello di una maggiore sicurezza data proprio dalla compilazione automatica dei campi, che di fatto impedisce ai keylogger di scoprire cosa stiamo digitando sulla tastiera. Nel caso in cui il password manager sia di ultima generazione o comunque di ottima qualità, includerà anche l’aggiornamento rapido delle credenziali e questa funzione sarà utilissima nel caso in cui venissimo presi di mira dagli hacker.
I password manager più efficaci, inoltre, sincronizzano tutte le credenziali attraverso l’utilizzo di un solo account.
Alcuni esempi di password manager sono KeePass, Dashlane, LastPass, 1Password ma potete scegliere il vostro password manager preferito, tra i tanti gratuiti o a pagamento, con una semplice ricerca su Internet.
E voi? Utilizzate già un password manager? Quali sono le vostre impressioni sulle sue funzionalità?