Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Come scegliere una password sicura, difficile da indovinare: tutti i consigli degli esperti

Per comodità, superficialità o pigrizia tendiamo a utilizzare password facili da memorizzare e di ripeterle uguali per l’accesso a diversi servizi. Niente di più sbagliato: è come lasciare le chiavi di casa attaccate alla porta. Ecco come crearne di sicure e a prova di “scasso”

06 Giu 2018

Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del CLUSIT, www.giorgiosbaraglia.it


Mi piace affermare che “le password sono le chiavi della nostra Casa Digitale”, una “casa” (costituita da computer, smartphone, tablet) nella quale custodiamo sempre più dati e sempre più importanti.

Ma poiché è noto che “la tecnologia corre più veloce della nostra capacità di assimilarla”, ancora oggi usiamo le password in modo totalmente insicuro. Nessuno lascerebbe la chiave sulla porta, uscendo di casa, ma con le password facciamo proprio questo…

Uso delle password, gli errori più comuni

Nella mia attività di formazione, sono tanti gli errori che vedo fare nell’uso delle password.

Queste sono – incredibile, ma vero! – le password più utilizzate nel mondo (ed anche le peggiori!) nel 2017 (fonte Splash Data):

  • 123456 (al primo posto dal 2013)
  • password
  • 12345678
  • qwerty
  • 12345
  • 123456789
  • letmein
  • 1234567
  • football
  • iloveyou

Non serve aggiungere altro…

L’errore di usare la stessa password per siti diversi

Se non che, oltre ad usare password troppo deboli, commettiamo anche l’errore di usare la stessa password per siti diversi. Il cosiddetto “password reuse” rappresenta probabilmente l’errore più grave che possiamo commettere. Un hacker potrebbe violare i server di un sito (è successo per Yahoo, LinkedIn e molti altri) e rubare tutte le password. Ma se noi abbiamo usato quella stessa password (che è stata scoperta) anche in altri siti, sarà un gioco da ragazzi per l’hacker riuscire ad usarla.

È addirittura possibile automatizzare il processo di verifica utilizzando Shard, uno strumento a riga di comando che è stato sviluppato per consentire agli utenti di testare se una password che utilizzano per un sito è utilizzata per accedere ad alcuni dei servizi più popolari, tra cui Facebook, LinkedIn, Reddit, Twitter o Instagram. Il codice del tool Shard è disponibile sulla repository di GitHub.

Prima di esaminare le regole per una password sicura, guardiamo COME le password vengono scoperte.

Come ci vengono rubate le password?

Le tecniche per scoprire le nostre password sono più d’una, talvolta veramente banali:

  • Ingegneria sociale: ad esempio phishing, Password Sniffing. In pratica siamo noi che ci lasciamo ingannare dalle tecniche di social engineering e diamo le password a chi ce le chiede attraverso per esempio messaggi, email, siti fake (falsi) che dissimulano un sito noto.
  • Indovinando le password: utilizzando informazioni personali come nome, data di nascita o nomi di animali domestici. A scoprire la password non sarà un hacker lontano, ma magari l’amico o il vicino di casa…
  • Attacco “brute force: la prova automatica di un gran numero di password fino a quando viene trovata quella giusta. Esistono programmi appositi per fare questo, il più noto è John the RipperSi tratta di una tecnica onerosa, che richiede tempo e potenza di calcolo, ma che può raggiungere il risultato.
  • Intercettazione di una password mentre viene trasmessa su una rete. È frequente la pessima abitudine di comunicare password via email: ci sono addirittura siti che, non appena ci registriamo, ci inviano un cortese messaggio di benvenuto contenente username e password esposti “in chiaro”. Peccato che l’email non sia uno strumento sicuro…
  • “Shoulder surfing”: osservando qualcuno alle spalle (“shoulder”) mentre digita la password.
  • Installando un keylogger per intercettare le password quando vengono digitate in un dispositivo. Ricordiamo che i keylogger sono programmi (trojan) che registrano tutto ciò che viene digitato sulla tastiera, trasmettono poi questi dati all’hacker che ha installato il keylogger. Esistono anche keylogger basati su hardware che richiedono accesso diretto sul computer della vittima.
  • Password memorizzate in modo non sicuro, come scritte a mano su un foglietto, o salvate su un file di word (ovviamente denominato “Password”!).
  • Compromettendo un database contenente un gran numero di password utente, quindi utilizzando queste informazioni per attaccare altri sistemi dove gli utenti hanno riutilizzato le stesse password (“credential stuffing”). È per esempio quello che è successo con il data breach di LinkedIn (2012) attraverso il quale furono violati gli account LinkedIn, Twitter e Pinterest di Mark Zuckerberg (che usava la stessa password in tutti!).

Come si scrive una password forte

Una password è caratterizzata da:

  • Lunghezza: consigliabile usare almeno 12 caratteri
  1. Tipi di caratteri usati:
    • Numeri (0-9) = 10 tipi
    • Lettere = 52 tipi (26 minuscole + 26 maiuscole)
    • Caratteri speciali da tastiera (cioè quelli direttamente presenti sulle tastiere, per es.: # &%?^ ecc. = 33 tipi

Quindi in totale abbiamo a disposizione 95 tipi di caratteri: consigliabile usarli tutti, perché aumentando i tipi dei caratteri, il numero delle combinazioni cresce in modo esponenziale, come vediamo anche in questa tabella (ove alla colonna “Tempo” abbiamo calcolato quanto impiegherebbe un attacco “brute force” realizzato con un computer in grado di provare un miliardo di chiavi al secondo):

Quindi: usare tutti i caratteri disponibili (95) ed usare una password di (almeno) 12 caratteri per aumentare il numero di combinazioni e quindi la sicurezza dell’account.

Il Decalogo per una Password sicura

Riassumiamo dunque le buone regole per una password degna di tale nome:

Sempre diversa: Non utilizzare la stessa password in account diversi (“non puoi evitare che il tuo provider venga violato, ma puoi evitare che tutti i tuoi account vengano hackerati in un colpo solo a causa dell’utilizzo di una sola password”).

Lunga: almeno dodici caratteri (ma anche di più!).

Mista: utilizzare tutti i tipi disponibili: lettere maiuscole e minuscole, numeri e caratteri speciali.

Senza senso: evitare nomi, parole o parti di parole che possono essere ritrovati automaticamente in un dizionario in qualsiasi lingua.

Errori da evitare quando si crea una password

  • sequenze o caratteri ripetuti. Esempi: 12345678, 222222, abcdefg, o lettere adiacenti sulla tastiera (qwerty).
  • Parole scritte al contrario, errori comuni di ortografia e abbreviazioni.
  • Modificazioni ovvie alla password: sostituire “a” con “@”, “e” con “&” o “3”, “s” con “$”. Sono trucchi banali, ben noti agli hacker.
  • Informazioni personali o di familiari: nome, compleanno, numero di patente e di passaporto o informazioni analoghe.

L’unica password sicura è quella che non si può ricordare

Vediamo alcuni esempi di password e spieghiamo perché non sono poi così sicure (tranne una!):

keyboard_arrow_right
keyboard_arrow_left
PasswordSicura?Perché
987654321NOSequenza Numerica
precipitevolissimevolmenteNOParola a dizionario
01101952NOData di nascita
passwordNOParola a dizionario
1q2 w3e4rNOSequenza su tastiera (a zig-zag su due righe)
T3L3VI510N3NOModificazione (ovvia!) della parola TELEVISIONE
rtuoiry55TyUo77#Combinazione casuale

Quindi l’unica password sicura è quella che non si può ricordare, citando il famoso articolo dell’esperto australiano Troy Hunt: “The only secure password is the one you can’t remember”.

La soluzione per la password migliore

Come abbiamo detto, per essere sicuri dobbiamo usare password sempre diverse e molto complesse.

Tutto chiaro, ma come fare a ricordarle? Oggi le password che ciascuno di noi deve gestire sono spesso molte decine, alcune delle quali assolutamente delicate (Internet Banking, Account Aziendali, Email, ID Apple o Google, collegati agli smartphones, servizi Cloud).

La soluzione che consiglio (e che consiglia anche Troy Hunt, nell’articolo sopra citato) è semplice e molto pratica:  utilizzare un password manager.

Si tratta di  software che permettono di gestire tutte le password dei vari siti e applicazioni attraverso un’unica password centrale, quella del password manager appunto, che una volta inserita permette di accedere a tutte le altre senza doverle sempre ricordare. Strumento molto utile e consigliato.

Come sapere se le nostre credenziali sono state violate

Infine, vediamo anche come scoprire se la nostra password è stata violata. L’esperto australiano di cybersecurity Troy Hunt (di cui ho parlato anche in precedenza), ha creato un utile servizio per sapere se le nostre credenziali sono finite in qualche “data breach”.

Nel sito haveibeenpwned.com (che si potrebbe tradurre con: “Sono stato violato?”) ha classificato tutti i data breach più importanti degli ultimi anni, creando un archivio con oltre 5 miliardi di account violati.

È sufficiente inserire il proprio username e cliccare sul pulsante “pwned?” per sapere se il nostro account è stato coinvolto in qualche incidente informatico. Se così fosse, la schermata diventa rossa e compare la scritta “Oh no — pwned!”. E vengono elencati i “Breaches you were pwned in”, gli incidenti nei quali il nostro account è finito. Con il consiglio, ovvio, di cambiare subito la password dell’account violato!

Il sito è sicuro ed ormai molto noto, tant’è che viene utilizzato anche dal browser Chrome, attraverso un’apposita estensione (chiamata “PassProtect”) la quale, ogni volta che inseriamo una password nel browser, controlla sul database di Haveibeenpwned se la password risulta essere stata hackerata.

E se lo è, ci dà l’informazione “the password isn’t safe”.

Utile e sicuro! Lo consiglio senz’altro.

Buone password a tutti!

@RIPRODUZIONE RISERVATA

Articolo 1 di 4