“Allora la combinazione è 1-2-3-4-5! È la più stupida combinazione che abbia mai sentito in vita mia! È la combinazione che un idiota userebbe per la sua valigia!”, è così che un giovane Rick Moranis recitava nel film cult degli anni ’80 “Spaceball”.
Le password fanno ormai parte della nostra quotidianità. Vengono usate in uffico, per le email, per la banca, per i social network e spesso, per evitare di doversele scrivere tutte, si scelgono le più comuni e semplici da ricordare, o si usa sempre la stessa per tutti gli accessi, senza la minima diversificazione.
Le parole chiave più usate solitamente sono il codice 123456, la parola “password” o “password123”, la stessa parola ripetuta al contrario “ciaooaic”, oppure informazioni personali come il proprio nome o cognome, o la propria data di nascita.
Una minaccia sottovalutata
Se ci fermiamo un attimo a riflettere, le password proteggono tutte le nostre informazioni private. Usarne una facile da individuare equivale a dare le nostre chiavi di casa ad un ladro.
Purtroppo esistono programmi in grado di analizzare liste di parole (dictionary attack) e di caratteri (password brute forcing) utilizzate come parole chiave, usati da hacker per rubare identità ed altri dati personali a scopo di estorcere soldi. Il giochetto è semplice: ti inviano email con dati personali e ricatti vari chiedendo il pagamento di una somma. Diventa quindi superfluo dire che più una password è comune e più è semplice scoprirla.
Inoltre con i nuovi sistemi tecnologici, ora “chiunque” con un pc performante è in grado di rubare interi database contenenti GB di dati relativi a social network o altre piattaforme diffuse.
Un’arma di difesa
Da Password a Passphrase
Prima di tutto, vorremmo portare alla tua attenzione il concetto di passphrase, che sostituisce la password. Si tratta comunque di un insieme di parole o stringhe alfanumeriche, con una lunghezza superiore, costituite da vere e proprie frasi di senso compiuto. Ad esempio:
- “ChelaForzasiaconte77”, indica una celebre frase della saga Star Wars, iniziata nel 1977. È facile da ricordare e molto efficace.
Per capire quanto incide, in termini di sicurezza, la lunghezza della stringa usata, vai sul sito https://random-ize.com/how-long-to-hack-pass/ , inserisci i seguenti esempi e guarda in quanto possono essere individuate le stringhe:
- 11012020 (meno di un secondo);
- Ac7/j52! (24 giorni e 20 ore);
- ChelaForzasiaconte77 (tempo indefinito).
Inoltre è buona pratica cambiare costantemente le password e differenziarle per ogni sito onde evitare che, una volta scoperta, tutti i tuoi accessi ai diversi servizi siano compromessi.
Data breach
Come detto sopra, è importante utilizzare parole chiave differenti per servizi diversi, soprattutto ora che sono aumentati i casi di data breach di utenze e password, con archivi di credenziali resi disponibili pubblicamente e facilmente rintracciabili. In questi database sono presenti sia account personali che aziendali, usati erroneamente per iscriversi a servizi che col lavoro non c’entrano proprio nulla.
Se la stessa password viene utilizzata anche per tutti i servizi interni all’azienda, sarà molto facile per chi compie l’attacco accedere ai dati aziendali (servizio di pensione integrativa dei dipendenti, il sistema di remote banking con il quale vengono gestiti i conti della società, ecc.)
Quindi perchè è così importante diversificare le password?
Una volta individuata una password, l’hacker può compiere ulteriori attacchi attraverso:
- il password guessing: è un tentativo di indovinare una o più password a fronte di quella che abbiamo già in possesso;
- il credential stuffing: viene provata una determinata coppia di credenziali (utente/password) su diversi servizi per verificarne la validità anche per altri servizi.
Come faccio a ricordarmi tutte le password?
Esistono dei password manager, sistemi per i quali è sufficiente ricordarsi la password primaria per avere poi accesso al portafogli delle proprie password.
Di questi software ne esistono molti, ma noi te ne suggeriamo due molto validi:
- KeePass https://keepass.info/ per un client installato sul proprio dispositivo;
- TeamPass https://teampass.net/ per una gestione in cloud.
In sintesi, per proteggere le proprie credenziali è buona regola evitare di diffonderle, scegliere password lunghe (passphrase), cambiarle costantemente e diversificarle il più possibile.
Per ulteriori informazioni scrivi a: [email protected].