20 Ottobre 2017 Expert

RENDI LE TUE PASSWORD SICURE IN 4 SEMPLICI PASSAGGI

La vita privata e lavorativa è scandita da login e autenticazione dei nostri profili sul web. Come ricordare tutte queste password? E poi, sono realmente sicure? Queste e altre domande si accavallano nella mente di ogni utente.

Nell’eterna indecisione fra scegliere una password sicura semplice, ma facile da ricordare, e una più articolata, ma meno memorabile, interviene un gruppo di “hacker buoni” di CynoSure per fare chiarezza. Questa squadra di ricercatori nel giro di pochi giorni è riuscita a violare 320 milioni di password protette, dimostrando come i canoni finora utilizzati in materia di password sicure siano ormai obsoleti e limitati.

Andiamo con ordine e scopriamo come rendere una password veramente sicura.

Il pensionato Bill Burr, ex funzionario dell’Istituto Nazionale degli Standard e delle Tecnologie (NIST), padre fondatore di un utilissimo documento raggruppante linee guida per rendere le password meno violabili (ad esempio l’utilizzo di caratteri alfanumerici e speciali come i simboli $ e *), oggi si scusa per aver introdotto regole che ora si stanno dimostrando non funzionali e limitate.

Gli attacchi informatici e le violazioni di credenziali sono ormai all’ordine del giorno, ne sono stati vittime anche colossi come Yahoo! a cui sono stati rubati 500 milioni di account, Linkedin, il cui furto ammonta a 117 milioni di credenziali e perfino gli account Instagram, Pinterest e Linkedin del fondatore di Facebook, Mark Zuckerberg.

Se da una parte molti utenti cadono in errore perché utilizzano password estremamente semplici (come “123456”, la più gettonata dell’anno scorso o nel caso di Mark Zuckerberg “dadada”) dall’altra, anche le regole in materia di password sicure sono diventate discutibili.

Classifica password 2016Fonte: Ricerca effettuata da Keeper Security su 10 milioni di password.

Per vedere l’elenco completo clicca qui

LE STRATEGIE PER GENERARE PASSWORD SICURE

All’epoca della stesura del documento, Bill Burr non poteva sapere come si sarebbe evoluta la criminalità informatica e che i canoni di sicurezza non sarebbero più stati efficaci dopo 14 anni. Lui stesso ha ammesso che tali linee guida, oggigiorno, comportano cambiamenti minimi ed effettivamente insufficienti a rendere una password davvero sicura.

Alcuni ricercatori, a giugno dell’anno scorso, hanno riadattato il suo documento (la cui revisione è visualizzabile cliccando qui), fornendo le nuove regole per password sicure.

Non ci resta che scoprire i cambiamenti attuati.

1. NO AI CARATTERI SPECIALI, SI’ ALLE FRASI

Ci abbiamo messo vent’anni di studi per avere delle password che gli umani fanno una grande fatica a ricordare, ma che i computer indovinano subito” – Randall Munroe

La tesi è supportata dal fatto che oggi frasi lunghe e facili da ricordare sono considerate più sicure rispetto a quelle contenenti caratteri speciali.

Uno studio eseguito da Munroe, famoso disegnatore di fumetti, ha dimostrato che ci vogliono 550 anni per decifrare una password composta da quattro parole randomiche, diversamente una con caratteri speciali si viola in tre giorni.

Tecnicamente si potrebbe pensare che una password alfanumerica, con maiuscole, minuscole e simboli casuali possa essere molto sicura, in realtà è più difficile da ricordare. Non a caso, diversi utenti la scrivono, magari sul classico post-it incollato sul monitor del proprio computer o sulle note nel telefono, vanificando la validità della stessa.

Simboli e caratteri speciali che erano considerati fonti di sicurezza, oggi sono equiparabili alle lettere e quindi facilmente decriptabili da software e hardware sempre più all’avanguardia.

Per questo motivo molti si auspicano l’introduzione di caratteri, come lo spazio, finora non permessi per creare frasi come password sicure.

Password non sicura

2. CAMBIARE PASSWORD PERIODICAMENTE, MA CON CRITERIO

Cambiare la password periodicamente per la nostra memoria non è sempre un bene: si ha paura di dimenticarla o di confondersi e quindi solitamente la si sceglie molto simile alla precedente. Questa modifica risulta irrilevante in termini di sicurezza: il consiglio è di cambiare password solo esclusivamente quando si ha il dubbio di un furto comprovato o tentato.

Alcune piattaforme ad esempio Facebook e Gmail, offrono una maggiore protezione del proprio account, inviando notifiche al cellulare o ad altri profili collegati dell’utente per segnalare possibili abusi.

Cambiare, tuttavia, non è sbagliato purchè si sostituisca totalmente e non solo parte di essa.

Regole password sicure

3. ATTIVA L’AUTENTICAZIONE A PIU’ FATTORI (QUANDO POSSIBILE)

Sebbene gran parte delle piattaforme più comuni richiedano ancora l’autenticazione classica (user e password), ultimamente si stanno diffondendo ulteriori metodi come  l’autenticazione a più fattori.

Quest’ultima si basa principalmente su due fasi: identificazione e autenticazione. La prima permette di stabilire l’identità dell’utente, mediante l’inserimento di username e password, mentre la seconda si riferisce alla tecnica con cui l’utente viene effettivamente riconosciuto, tramite captcha, recaptcha,  riconoscimento facciale, codice generato via sms o token, etc. La combinazione tra user, password e l’ulteriore codice di accesso autentica l’utente al sistema.

Ad oggi moltissime piattaforme online permettono la verifica dell’identità dell’utente sfruttando questi due passaggi, solitamente inviando per SMS o email un codice monouso per completare la registrazione.

Tuttavia nemmeno l’autenticazione a più fattori può garantire un’inviolabilità totale della password poichè quest’ultima potrebbe venire compromessa tramite phishing lato provider, ovvero potrebbe essere rubata direttamente dalla piattaforma che permette l’accesso all’utente. Le stesse piattaforme sono quindi tenute a incrementare e rafforzare i loro sistemi di sicurezza per prevenire ed evitare possibili fughe di password e informazioni sensibili.

Autenticazione a due fattori

4. MINIMO 8 CARATTERI NON VUOL DIRE USARNE SOLO 8

Quasi tutte le piattaforme raccomandano l’uso di minimo 8 caratteri per la realizzazione di una password, con l’effetto indesiderato che purtroppo gran parte degli utenti opta esattamente per questo numero. Questa scelta agevola possibili attacchi da parte di pirati informatici che in base alla lunghezza della password impiegano maggior o minor tempo per individuarla.

In aggiunta il formato ggmmaaaa delle date di nascita rischia di diventare fuorviante per gli utenti che scelgono una password così semplice da ricordare, ma troppo riconducibile all’identità dell’utente stesso.

Robustezza della passwordIn conclusione, riassumiamo quattro semplici suggerimenti a cui ogni utente dovrebbe prestare attenzione:

    • Non usare mai la medesima password per più siti e piattaforme
    • Utilizzare una password sufficientemente lunga e complessa con numeri, caratteri standard e speciali  (non abbiate paura di esagerare: la lunghezza massima è di 64 caratteri – ad esempio “Ambararab@CicciCocc03” potrebbe essere semplice da ricordare, ma discretamente difficile da scoprire – )
    • Se disponibile abilitare l’autenticazione a più fattori
    • Mai memorizzarle o scriverle in chiaro

… e per il resto, il nostro consiglio è quello di usare grande fantasia nella creazione di frasi / password sicure in maniera attenta e consona, osservando tutti i punti dell’articolo!

Versione per la stampa Versione per la stampa , , , ,