Password: come costruirne di efficaci

Password efficaci: come crearle

Le password, croce e delizia di ogni sistema di sicurezza informatica. Quanti account abbiamo, sparsi per il web? E di quanti ci ricordiamo la password? La tentazione è sempre quella di mettere Abc123 a tutto…

A parte gli scherzi, le password sono davvero un gran problema. Le strategie più usate sono due solitamente: la prima è di usarne una per tutto. La seconda è di usarle tutte diverse…e scriversele su un post-it. Capiamo che la seconda strategia è molto problematica: in caso di furto fisico del computer, il ladro avrebbe accesso a tutte le nostre informazioni. Anche segnarle in agenda o sulle note del cellulare espone allo stesso rischio. Nemmeno la prima è particolarmente sicura: in caso di un attacco informatico, l’hacker in un colpo riuscirebbe a penetrare su tutti i nostri account. Per esempio, attaccando il nostro account Facebook verrebbe anche a sapere la password di Amazon e quella di Paypal…e noi non vogliamo questo, vero?

Gli hacker, per rubare le password, usano vari sistemi: uno dei più complessi ma più efficaci è il keylogger, un programmino che riesce a “leggere” i tasti che premiamo sulla tastiera: i keylogger si installano sul computer della vittima secondo le stesse modalità degli altri malware e trasmettono poi quello che scriviamo al malintenzionato. Un altro sistema si basa sul dizionario di password, che contiene tutte le password più comuni; questi programmi “provano” tutte le combinazioni a partire da queste password comuni (una delle più usate ancora oggi è qwerty). Sempre più spesso si fa uso dell’Ingegneria sociale per farsi dire direttamente la password oppure per carpire informazioni utili da tentare secondo varie combinazioni.

Le peggiori: quelle da evitare assolutamente

SpashData stila ogni anno la lista delle peggiori password usate, ovvero quelle più frequenti: eccone una carrellata, per riderci su (alla #49 troviamo biteme, ovvero mordimi!) e per cambiarle nel caso le avessimo usate:

123456;
123456789;
qwerty;
password;
1234567;
12345678;
12345;
iloveyou;
111111;
123123.

Segnaliamo inoltre che anche per la sicurezza ci sono le mode: alla #22 troviamo princess, seguita da dragon alla #23. Game of Thrones effect?

Costruire una password efficace

Come fare a proteggerci, dunque? Partiamo dalle basi, che quasi sicuramente già tutti conosciamo:

Devono esserci sia maiuscole sia minuscole;
Importante è anche introdurre dei simboli (%, $, @ e così via);
I numeri sono importanti: è meglio non metterli completamente divisi dal testo ma integrati in esso. E non seguiamo l’ordine! Vietato 1234 e anche 4321.

Questi trucchi aumentano a dismisura le combinazioni possibili, aiutando a creare password efficaci e rendendo la vita un po’ più complicata agli hacker. Ma non possiamo limitarci solo a queste regole di base, purtroppo. Sempre più spesso, infatti, il furto della password è questione di psicologia: l’hacker, nascosto sotto le mentite spoglie di un tecnico gentile, un simpatico membro di un gruppo facebook di appassionati di penne stilografiche o un affabile vicino di posto in treno, ci farà domande sulle nostre passioni, il compleanno di nostra figlia, il nostro libro preferito, il nome del nostro primo animale domestico, il cognome da nubile di nostra madre. Vi ricordano qualcosa questi esempi? Esatto, sono tra le più comuni domande di sicurezza. Tramite la risposta alla domanda di sicurezza, il malintenzionato inganna il sistema fingendosi noi. Bandite dunque:

Date di nascita proprie o dei propri cari;
Nomi propri o dei propri cari;
Date di anniversari;
Nomi di animali domestici;
Titoli di libri, film, fumetti o videogiochi.

In generale il consiglio più diffuso è di evitare nomi propri e parole di senso compiuto. Inoltre, quando dobbiamo inserire la domanda di sicurezza, scegliamone una non comune, ricordiamocela e stiamo molto attenti quando uno sconosciuto introduce proprio quell’argomento. Non scegliamo parole che siano connesse alle nostre passioni: sui social si tende a mostrare molto i propri interessi. Il rischio è di dare in pasto inavvertitamente informazioni preziose.

Come ricordare una password efficace?

Ricordare combinazioni casuali, di più di 10 caratteri, con lettere, numeri e simboli (esempio: Sò\14kF23&4@) può essere complesso: possiamo usare un Password Manager. I Password Manager sono applicazioni desktop oppure browser che generano password efficaci e le ricordano per noi. Inoltre, i password manager proteggono dal keylogging, in quanto non dobbiamo materialmente digitare nulla.

I Password Manager Browser (come quello di Google Chrome) sono estremamente comodi: sono collegati al nostro account (in questo caso Gmail) e ricordano le nostre password. Essendo però collegati all’account Gmail, nel caso in cui si subisca un furto di account di Gmail l’hacker avrebbe accesso a tutti gli altri!
I Password Manager Desktop sono servizi spesso a pagamento che generano e conservano chiavi sicure sul nostro pc: sono protette dagli sconosciuti in quanto è possibile accedervi solo tramite una Master Password. Chiaramente i criteri per generarla valgono esattamente come per le altre: dovremo però memorizzare un solo codice alfanumerico senza senso invece che molteplici. Inoltre proteggono da keylogger in quanto la Master viene digitata non sul browser ma su un’applicazione a parte. Anche nel caso di furto fisico di device, inoltre, non ci sarebbero problemi: bisognerebbe sempre superare lo scoglio della Master.

Come sapere se ci hanno rubato una password?

Non sempre è facile accorgersi che ci han rubato una password. Pensiamo a quanti social, giochi online o account di eshop abbiamo perso nel web, a cui non accediamo da anni e anni e di cui nemmeno ci ricordiamo. Ognuno di questi account però è una porta aperta alle frodi. È bene ogni tanto controllare se ci han rubato una password o se siamo tranquilli: Have I been Pwned offre la possibilità, inserendo il proprio indirizzo mail, di sapere se un account connesso a questo è stato hackerato.