Password efficaci: come crearle
Le password, croce e delizia di ogni sistema di sicurezza informatica. Quanti account abbiamo, sparsi per il web? E di quanti ci ricordiamo la password? La tentazione è sempre quella di mettere Abc123 a tutto…
A parte gli scherzi, le password sono davvero un gran problema. Le strategie più usate sono due solitamente: la prima è di usarne una per tutto. La seconda è di usarle tutte diverse…e scriversele su un post-it. Capiamo che la seconda strategia è molto problematica: in caso di furto fisico del computer, il ladro avrebbe accesso a tutte le nostre informazioni. Anche segnarle in agenda o sulle note del cellulare espone allo stesso rischio. Nemmeno la prima è particolarmente sicura: in caso di un attacco informatico, l’hacker in un colpo riuscirebbe a penetrare su tutti i nostri account. Per esempio, attaccando il nostro account Facebook verrebbe anche a sapere la password di Amazon e quella di Paypal…e noi non vogliamo questo, vero?
Gli hacker, per rubare le password, usano vari sistemi: uno dei più complessi ma più efficaci è il keylogger, un programmino che riesce a “leggere” i tasti che premiamo sulla tastiera: i keylogger si installano sul computer della vittima secondo le stesse modalità degli altri malware e trasmettono poi quello che scriviamo al malintenzionato. Un altro sistema si basa sul dizionario di password, che contiene tutte le password più comuni; questi programmi “provano” tutte le combinazioni a partire da queste password comuni (una delle più usate ancora oggi è qwerty). Sempre più spesso si fa uso dell’Ingegneria sociale per farsi dire direttamente la password oppure per carpire informazioni utili da tentare secondo varie combinazioni.
SpashData stila ogni anno la lista delle peggiori password usate, ovvero quelle più frequenti: eccone una carrellata, per riderci su (alla #49 troviamo biteme, ovvero mordimi!) e per cambiarle nel caso le avessimo usate:
Segnaliamo inoltre che anche per la sicurezza ci sono le mode: alla #22 troviamo princess, seguita da dragon alla #23. Game of Thrones effect?
Come fare a proteggerci, dunque? Partiamo dalle basi, che quasi sicuramente già tutti conosciamo:
Questi trucchi aumentano a dismisura le combinazioni possibili, aiutando a creare password efficaci e rendendo la vita un po’ più complicata agli hacker. Ma non possiamo limitarci solo a queste regole di base, purtroppo. Sempre più spesso, infatti, il furto della password è questione di psicologia: l’hacker, nascosto sotto le mentite spoglie di un tecnico gentile, un simpatico membro di un gruppo facebook di appassionati di penne stilografiche o un affabile vicino di posto in treno, ci farà domande sulle nostre passioni, il compleanno di nostra figlia, il nostro libro preferito, il nome del nostro primo animale domestico, il cognome da nubile di nostra madre. Vi ricordano qualcosa questi esempi? Esatto, sono tra le più comuni domande di sicurezza. Tramite la risposta alla domanda di sicurezza, il malintenzionato inganna il sistema fingendosi noi. Bandite dunque:
In generale il consiglio più diffuso è di evitare nomi propri e parole di senso compiuto. Inoltre, quando dobbiamo inserire la domanda di sicurezza, scegliamone una non comune, ricordiamocela e stiamo molto attenti quando uno sconosciuto introduce proprio quell’argomento. Non scegliamo parole che siano connesse alle nostre passioni: sui social si tende a mostrare molto i propri interessi. Il rischio è di dare in pasto inavvertitamente informazioni preziose.
Ricordare combinazioni casuali, di più di 10 caratteri, con lettere, numeri e simboli (esempio: Sò\14kF23&4@) può essere complesso: possiamo usare un Password Manager. I Password Manager sono applicazioni desktop oppure browser che generano password efficaci e le ricordano per noi. Inoltre, i password manager proteggono dal keylogging, in quanto non dobbiamo materialmente digitare nulla.
Non sempre è facile accorgersi che ci han rubato una password. Pensiamo a quanti social, giochi online o account di eshop abbiamo perso nel web, a cui non accediamo da anni e anni e di cui nemmeno ci ricordiamo. Ognuno di questi account però è una porta aperta alle frodi. È bene ogni tanto controllare se ci han rubato una password o se siamo tranquilli: Have I been Pwned offre la possibilità, inserendo il proprio indirizzo mail, di sapere se un account connesso a questo è stato hackerato.