L'importanza di scegliere password lunghe e complesse
Pubblicato da Studio Nassisi® | Servizi Informatici in Focus · Giovedì 11 Nov 2021
Ogni servizio che utilizziamo in Rete, dall'account di posta elettronica al servizio di online banking, richiede l'uso di una password che, associata al nome utente (username) scelto o fornito dal gestore del servizio, permette di proteggere le proprie informazioni dagli accessi non autorizzati.
Con l'avvento delle nuove tecnologie e con il numero sempre crescente di servizi disponibili in rete, le password da ricordare sono diventante veramente tante. Molti programmi, inoltre, offrono la possibilità di proteggere con una password personale i documenti od i file da essi prodotti.
E' il caso, ad esempio, dei software contenuti nel pacchetto Microsoft Office, oppure di utilità per la creazione di archivi compressi come WinZip o WinRAR.
Conseguentemente, si pone un problema di estrema importanza: cosa succederebbe se le password poste a difesa della nostra casella di posta, del nostro servizio cloud, del nostro internet banking, dei nostri profili social ci venissero sottratte o, peggio, venissero violate da qualche criminale informatico?
La risposta è semplice: questa persona avrebbe in mano, letteralmente, tutta la nostra vita!
Le password più facili da violare sono ovviamente quelle basate su semplici parole: se una o più password, da voi utilizzate per l'accesso ai vari servizi online, sono la vostra data di nascita, il nome del cane, di un figlio oppure la città od il luogo di vacanza preferiti, è bene variarle immediatamente.
Oggi, infatti, è fin troppo semplice risalire a questo genere di informazioni... basta ad esempio scandagliare i profili social di un utente "poco accorto" che, tipicamente, ignora i rischi legati alla pubblicazione sul web di informazioni personali proprie o della propria famiglia.
Senza volerlo, quindi, l'utente più sprovveduto, diffondendo pubblicamente delle informazioni sulla sua vita privata o sui suoi interessi, può inconsapevolmente facilitare attacchi da parte di aggressori interessati ad accedere ai servizi online ai quali la medesima persona si è registrata.
A titolo di esempio, nello specchietto sotto riportato sono indicate le tempistiche che sono tipicamente necessarie per violare password di differenti tipologie e lunghezze.
Qual è, dunque, la migliore strategia per generare una password veramente robusta ed affidabile?
L'approccio migliore consiste nel produrre una password contenente una miscela di caratteri alfanumerici (lettere maiuscole, minuscoli e numeri) e caratteri speciali (ad esempio "#", "%" oppure "!"). Ogni password così composta, inoltre, dovrebbe essere lunga almeno otto caratteri.
In parole povere, una password diviene tanto più sicura quanto maggiore è il numero di caratteri che la compone e quanto più diversa è la loro tipologia.
Sul web sono disponibili alcuni strumenti che forniscono all'utente un'idea generale circa la complessità e, quindi, l'adeguatezza di una password. Ad esempio, questo servizio consente di valutare il grado di sicurezza delle diverse tipologie di password introdotte dall'utente.
Si provi, ad esempio, a digitare le seguenti password nell'apposito campo:
password 1: password
password 2: wrE7p4rea
password 3: kEbr5!A753?s
password 4: tHap9eHEp*WRe2PEcr=f
Attraverso un apposito algoritmo, il servizio prova a stabilire il tempo necessario per risalire alla password indicata ponendo in essere un attacco di tipo "brute force".
Il brute force, come suggerisce il nome stesso, è un attacco che si basa su tentativi successivi: questo tipo di aggressione, tesa a recuperare una password, avviene quindi per iterazioni successive utilizzando tutte le combinazioni possibili, fino a trovare la parola chiave corretta.
Il dictionary attack è, invece, un attacco basato sull'impiego di termini di uso comune: questo tipo di aggressione si basa sul fatto che molti utenti utilizzano, per proteggere i propri dati, parole che fanno parte del linguaggio comune, nomi propri od altre parole di senso compiuto.
Le applicazioni utilizzate per sferrare questo tipo di attacchi attingono a dei veri e propri "dizionari" contenenti spesso decine di migliaia di parole, sia italiane che straniere. Per questa loro caratteristica, i dictionary attack risultano essere spesso ancor più efficaci degli attacchi brute force.
Come regola generale, quando si sceglie una password, è sempre bene introdurre un numero di caratteri che si avvicina al numero massimo consentito e, comunque, non usare mai password più corte – ove possibile – di 10 caratteri, utilizzare sempre maiuscole e minuscole, introdurre almeno un carattere numerico ed un simbolo e, infine, non usare mai termini che possono essere presenti in un qualunque dizionario.
Per la generazione di una password complessa, si può ricorrere al programma "stand alone" Last Pass. Completamente gratuito, Last Pass può creare una password basandosi sulle indicazioni dell'utente poichè è possibile specificare le caratteristiche che la password richiesta deve avere.
Da non sottovalutare il fatto che in seguito alla commercializzazione di computer dotati di schede grafiche sempre più performanti, molti aggressori fanno leva proprio sulla potenza di calcolo offerta dalle GPU (Graphics Processing Unit, il microprocessore montato su una scheda video per computer o console).
In particolare, le moderne GPU facilitano drasticamente gli attacchi di tipo "brute force" poichè sono in grado di elaborare informazioni al ritmo di due teraflops (con il termine "teraflops" si indicano mille miliardi di operazioni in virgola mobile al secondo); un valore che pareva fantascienza appena dieci anni fa!
L'imperativo è quindi: "password più forti e più complesse", nell'attesa che si diffondano metodologie di autenticazione hardware.
Ovviamente, riconosco che password complesse sono estremamente difficili da tenere a mente. Se proprio non si riesce a ricordarle, l'alternativa potrebbe essere quella di utilizzare software specifici, come ad esempio KeePass che si propone come un vero e proprio "password manager", ossia un programma capace di conservare lunghe liste di password in un archivio unico che viene memorizzato sotto forma di file crittografato. L'utente deve solo tenere a mente una password principale, la c.d. "master password" che verrà utilizzata ogni qualvolta si desideri accedere all'archivio protetto.
Quando si registrano nuovi account sui vari servizi online, non va sottovalutata nemmeno la cosiddetta "domanda segreta" che molti siti web richiedono di impostare in aggiunta alla classica password.
Rispondendo correttamente alla "domanda segreta", qualunque utente può richiedere l'azzeramento e la conseguente reimpostazione della sua password.
Le domande del tipo "qual è il nome di tua madre?, dove sei nato?, quale scuola hai frequentato?" dovrebbero essere sempre evitate dal momento che eventuali aggressori possono oggi riuscire (soprattutto se si è assidui frequentatori di social network) a rispondere in modo corretto ed avviare, a vostra insaputa, la procedura di reset e reimpostazione delle vostre password.
Recentemente, stanno prendendo sempre più piede i sistemi di autenticazione "a due fattori". Si tratta di una particolare tipologia di accesso poichè il gestore del servizio interessato richiede un doppio sistema di sicurezza per consentire all'utente di collegarsi al servizio richiesto.
Il primo livello di sicurezza è rappresentato dalla classica combinazione di nome utente e password, mentre il secondo è rappresentato da un "codice usa e getta" che viene inviato sullo smartphone dell'utente in tempo reale, nel momento in cui questi chiede di accedere al proprio servizio/account. In alcuni casi, il secondo livello di sicurezza è rappresentato da una notifica che arriva direttamente sul cellulare dell'utente ed alla quale bisogna rispondere per sbloccare l'accesso al servizio richiesto. Qualora questo secondo passaggio non venisse completato dall'utente il gestore non consentirà l'accesso.
Questo tipo di approccio rende decisamente più sicuri i nostri profili e account poichè un malintenzionato che volesse violare le nostre credenziali di accesso ad un dato serivizo, oltre a dover sottrarre nome utente e password della vittima, dovrebbe avere in qualche modo accesso anche al suo smartphone.
Sebbene i sistemi di autenticazione a due fattori non siano inviolabili in assoluto, certamente contribuiscono ad aumentare significativamente il livello di protezione dei nostri account e, pertanto, il mio consiglio è quello di attivarli tutte le volte che ciò risulta possibile.
Se hai apprezzato questo articolo o ritieni che possa essere di interesse anche per i tuoi contatti condividilo sui tuoi canali social preferiti. A te non costa nulla e darai la possibilità anche ad altri di conoscere il mio lavoro. Grazie!