Password sicura? Ecco come crearla... e come difenderla.
La password, croce e delizia di tutti noi users, e uno dei temi caldi quando si parla di sicurezza informatica: il primo passo per rendere infrangibili i dati è proprio la password, anche se spesso viene considerata banale e non trattata con la dovuta cautela.
“Come potrebbe un hacker carpire la mia password?”
Considerando che venire in possesso di una password, aziendale o privata che sia, garantisce l’accesso ai nostri account ed alle informazioni in esse contenuti (o, in caso sia un account lavorativo, anche alle eventuali credenziali per poter operare nella rete aziendale), è giusto sapere da che tipo di attacchi potremmo doverci difendere.
Ad esempio, col social engineering i malintenzionati sfruttano siti come i social network per studiare attentamente il profilo, evidenziando dettagli che potrebbero rivelare una password (nomi dei figli, fidanzati, amici, la data e il luogo di nascita…).
Oppure, potremmo trovarci a far fronte ad un brute force attack, in cui si esegue un programma che, in poco tempo, effettua un numero elevato di combinazioni di password, magari prese da un dizionario creato ad hoc, o con l’inserimento di parole individuate dal social engineering.
O ancora, potremmo essere stati vittima di un tentativo di phishing, in cui vengono inviate mail di richiesta della password da siti fake che prendono il nome da siti noti (di cui abbiamo parlato nell’articolo sul come riconoscere le mail sospette).
Prevenire è meglio che curare: come creare una password sicura?
Ora che a grandi linee sappiamo quali sono i rischi, diventa più facile capire quali precauzioni è opportuno adottare:
- Aumentare il set di caratteri.
Una password dovrebbe avere almeno 12 caratteri, tra cui maiuscole, minuscole, numeri e caratteri speciali (come “@”, “#”, “%”, segni di interpunzione o parentesi).
Aumentando il set di caratteri la password sarà molto più difficile da indovinare, sia con la semplice deduzione che con l’uso di programmi per un brute force attack. - Numeri e caratteri speciali andrebbero messi al centro.
Di solito li utilizziamo all’inizio e/o alla fine della password, e questa abitudine è ben nota agli hacker, consentendo di utilizzarla come “regola” per tentare una combinazione efficace. - Non utilizzare riferimenti personali.
Come avrete intuito dal paragrafo del social engineering, una password estremamente debole è quella che contiene questo tipo di informazioni – siamo pronti a scommettere che almeno una delle vostre password è composta dal nome di un famigliare (o di un animale domestico), e dal vostro anno di nascita.
Se ci avessimo visto giusto, a quanti dei vostri account avremmo accesso, ora? - Non utilizzare parole presenti nel dizionario.
Qui potete sbizzarrirvi con la creatività, giustificati dal fatto che i programmi utilizzati dai malintenzionati si appoggiano anche ai dizionari, di italiano ed inglese! Inventando un termine la vostra password sarà sicuramente più difficile da carpire – sconsigliamo però di puntare su errori voluti di ortografia o parole scritte al contrario, in quanto sarebbero ancora troppo simili a quelle presenti nel dizionario. - Usare una passphrase.
È un’alternativa molto più sicura della password, in cui potete utilizzare appunto una frase al posto della classica parola: prendete una poesia, un proverbio, una filastrocca, il testo di una canzone, ed abbreviatelo intervallando anche maiuscole, numeri e caratteri speciali.
Ad esempio, “nel blu dipinto di blu” potrebbe diventare n31-Blù(D1P1nt0#di%b1u
Consigli per la sicurezza informatica
Ora che avete tutti i mezzi per creare una password forte, bisogna pensare a difenderla!
- Non utilizzare la stessa password per tutti gli account.
Sappiamo cosa state pensando: avendo a che fare con almeno 100 password nella nostra vita digitale, come si può crearne (e soprattutto ricordarne!) una diversa per ogni account?
Sappiamo che è umanamente impossibile, però possiamo almeno suggerirvi di pensare delle password per macroaree: una per i siti con registrata la carta di credito (come quelli di e-commerce), una per i siti di home banking, una per i social media, una per gli account legati al lavoro. È importante però che l’indirizzo mail principale, sia privato che aziendale, abbiano una password molto forte univocamente dedicata. - Modificare la password ogni 90 giorni.
È buona norma modificarle completamente, non solo cambiare una lettera o una cifra. - Salvare le password in file criptati.
Se temete di non ricordarle e sentite la necessità di trascriverle, vi raccomandiamo di criptare il file sul PC, in modo da negare l’accesso a chiunque utilizzi la stessa rete – o, se preferite un supporto cartaceo, vi raccomandiamo di conservarlo con molta cura, ad esempio in uno schedario di cui solo voi avete la chiave. - Le password non vanno assolutamente scritte su fogli volanti o post-it, e non devono mai essere condivise.
Tantomeno per iscritto: oltre ad essere una violazione del GDPR, più persone conoscono la vostra password, più aumenta il rischio di data breach! - Non salvare le password sui browser.
Per quanto comodo possa essere, aumenta il rischio che vengano scoperte.
La password è il primo passo per la sicurezza informatica. Difendiamo i nostri dati con la scelta di un codice sicuro e protetto, e soprattutto non rintracciabile.
