Come creare una password sicura
Con la digitalizzazione dei servizi e delle principali operazioni che siamo soliti compiere quotidianamente online, è a dir poco cruciale creare una buona password.
Le password sicure sono essenziali per garantire la protezione dei tuoi account. Ma come puoi creare una password complessa in grado di soddisfare questa esigenza? Quali sono i suggerimenti migliori per creare password complesse ottimali?
Dobbiamo considerare le password come la chiave di una cassaforte o la chiave della nostra abitazione: così come abbiamo a cuore e ci sforziamo per proteggere i nostri risparmi e la nostra intimità, rappresentata nel secondo caso dalle mura domestiche, alla stessa maniera dobbiamo impegnarci per proteggere un tesoro di inestimabile valore esposto alla mercé degli hacker o dei malintenzionati di turno: i dati sensibili, ovvero informazioni riservate, di corrispondenza o chat per ragioni di svago oppure di lavoro, di messaggi e di molto altro: in poche parole, la nostra vita online.
Come è fatta una password sicura?
Una password sicura, o complessa, è una password difficile da indovinare o da hackerare. La complessità di una password è una misura di quanto tempo o di quanti tentativi servirebbero a un hacker che non la conosce per indovinarla correttamente.
Le password lunghe e articolate o le passphrase costituite da gruppi di parole sono estremamente sicure. Quelle brevi, generiche e facili da ricordare sono deboli, essendo facili da indovinare o vulnerabili agli attacchi di forza bruta.
Se la tua password è lunga e complessa, a un hacker serviranno molti più tentativi per decifrarla correttamente: con un giusto grado di complessità puoi rendere la tua password essenzialmente inviolabile. Non esiste una soglia chiara che indichi quanto devono essere lunghe le password per essere considerate "sicure". In generale, le password più lunghe e complesse sono migliori e più sicure.
Che cosa rende complessa una password?
Le password migliori, più sicure e potenti sono lunghe, difficili da indovinare e uniche. Ciò significa usare un minimo di 15 caratteri, ricorrere a parole o frasi difficili da indovinare e da ricondurre alla tua persona e non riutilizzare mai le stesse password per più account. Le buone idee per le password soddisfano tutti e tre questi requisiti.
La complessità viene spesso indicata come criterio chiave di una password sicura, il che significa che è fondamentale utilizzare una combinazione di lettere maiuscole e minuscole insieme a numeri e simboli. Per quanto vero, la lunghezza è più importante della complessità, motivo per cui spesso le passphrase sono le password migliori. È più facile per un hacker scaltro decifrare una password breve e complessa rispetto a una più lunga, anche se è composta esclusivamente da lettere minuscole.
Come sono composte le password sicure?
- Hanno almeno 12 caratteri.
- Sono costituite da lettere maiuscole e minuscole, numeri e caratteri speciali.
- Non si trovano in alcun dizionario.
- Non contengono dati o nomi collegati a voi o alla vostra famiglia.
- Sono uniche e specifiche per ogni account.
Cose da non fare per la creazione di una password:
- Scegliere una password simile a una password precedent
- Scegliere una password simile a una password precedente
- Usare password contenenti nome o cognome, nome utente, nome reale o nome di azienda, ecc.
- Usare parole scritte al contrario
- Sequenze (qwerty, abcdef, 12345 e così via)
- Rivelare la propria password ad altri
- Appuntare la password o tenerla vicino al PC o al sistema di accesso
- Usare la parola "password" o simile (cercare non usare i numeri invece delle lettere, ad esempio in "Pa55w0rd")
Cose da fare per la creazione di una password:
- Scegliere una password che si è in grado di ricordar
- Scegliere una password che si è in grado di ricordare
- Cambiare regolarmente la password
- Non utilizzare la stessa password su più account e programmi
- Scegliere una password che si può imparare a digitare con facilità senza perdere tempo a guardare la tastiera
- Provare a trasformare una frase facile da ricordare in un acronimo
Come fanno gli hacker a procurarsi le password?
Fughe di dati
A causa di fughe di dati di cui sono vittime grandi aziende online, milioni di nomi utente e password finiscono regolarmente nelle mani di criminali. Gli specialisti ipotizzano che nel corso degli anni questo problema abbia riguardato e riguardi tuttora miliardi di account. Ecco perché è importante utilizzare una password diversa per ogni account.
Password troppo semplici
"Ciao!", "123456", "password1" o "asdfgh1" sono tra le password più utilizzate in Svizzera. Questo facilita notevolmente il compito ai pirati informatici che in pochi secondi possono testare, con l'ausilio di programmi automatici, migliaia di voci contenute nei dizionari in relazione con combinazioni di numeri. Dopo le fughe di dati, le password semplici costituiscono quindi una delle maggiori lacune di sicurezza in rete.
Phishing
l’utente riceve email o SMS falsi da parte di qualcuno che si spaccia per la banca o per il servizio di supporto di un servizio online. Solitamente i toni sono molto allarmistici e il messaggio fa riferimento a un problema grave che dovrà essere risolto tempestivamente (es.: account sospeso o bloccato, transazione sospetta in corso, ecc). In questo modo si spinge l’utente a cliccare su un link (che riporterà a una pagina di accesso fasulla, spesso molto simile a quella originale) e a inserire le credenziali di accesso o i dati di pagamento, che verranno poi rubati.
Keylogger
altra tecnica molto usata per il furto di password, ma che richiede determinate condizioni per essere davvero efficace (sistema operativo non aggiornato, crack di programmi premium, antivirus poco efficace, ecc.). Il keylogger è un malware che si installa sul PC e che memorizza ogni tasto premuto sulla tastiera, così che l’hacker possa recuperare password e altri dati sensibili digitati dall’utente.
Man-in-the-middle: tecnica molto avanzata, difficile da identificare e da contrastare una volta messa in atto. L’hacker si posiziona in ascolto su una rete Wi-Fi pubblica e, non appena identifica una potenziale vittima, intercetta il traffico dati dal dispositivo al sito legittimo, mostrando delle pagine di login fasulle (anche in questo caso del tutto simili alle pagine originali). L’utente si ritrova quindi con la password rubata senza rendersene conto.
Attacco a dizionario
in questo caso l’hacker non deve nemmeno interagire troppo con l’utente, visto che proverà a forzare la password utilizzando metodi di hacking basati sull’attacco a dizionario. In questo scenario l’hacker deve solo recuperare il nome utente della vittima e “provare a indovinare” la password d’accesso, inserendo tutte le password più comuni custodite all’interno di un grande dizionario. Per questo motivo è bene non usare mai password troppo semplici (combinazioni di numeri facilmente indovinabili, nomi comuni, ecc) e impostare sempre delle chiavi di sicurezza complesse, per ridurre le possibilità di successo dell’attacco a dizionario.
Attacco a forza bruta
questo è l’attacco più potente che può portare a compimento un hacker e su cui l’utente può poco o nulla. Il malintenzionato attacca direttamente il server che custodisce le password d’accesso al servizio, sfruttando vulnerabilità note o malware per agevolare l’accesso. Una volta dentro ruberà tutte le password degli utenti iscritti a un servizio, rivendendole per denaro sul dark web. In questo caso l’utente non può salvarsi dall’accesso non autorizzato, anche se aveva scelto una password robusta; per salvarsi deve utilizzare un servizio di monitoraggio attivo che controlli periodicamente il dark web alla ricerca di file in cui è presente una delle nostre password compromesse.
Esempi di password non sicure
Le password sicure devono necessariamente essere lunghe e includere caratteri diversi dalle classiche lettere minuscole. Bisogna quindi essere fantasiosi il più possibile e sforzarsi di creare delle password realmente efficaci e non facilmente indovinabili.
Per fornire un’idea più chiara, ecco alcuni esempi di password molto semplici ed incredibilmente diffuse:
“password”: la regina delle password insicure, la più usata al mondo; se proprio vogliamo renderla difficile possiamo trasformarla in XXP@$$W0rD@XX, aggiungendoci dei numeri (al posto delle X) per renderla molto più complessa e difficile da indovinare
“user”: altra password troppo semplice e generica che possiamo trasformare in una password robusta come U$3r@XXXXXXX, usando molti numeri per renderla sufficientemente lunga
“123456”: cosa si può dire di questa password? L’unico modo per renderla più sicura è aggiungerci lettere e caratteri speciali (non prevedibili, quindi assolutamente da escludere soluzioni come “1a2b3c4d”, per esempio), trasformandola in qualcosa tipo 12E@56$XXXXX.
Questi sono solo alcuni degli esempi di come possiamo trasformare anche password molto semplici da ricordare in password sicure e difficili da indovinare con attacchi a dizionario.
10 regole per creare una password sicura
L'azienda Ermes Cybersecurity ha stilato una lista di consigli da tenere a mente per creare password sicure ed efficaci.- Più lunga è la password più difficile sarà decifrarla. È consigliato utilizzare una password che abbia una lunghezza minima di 8-12 caratteri fino ad arrivare a 20.
- Bisogna evitare di usare la stessa password per più di un account, altrimenti, scoperta quella, l'hacker avrà accesso ovunque.
- Le password devono essere complesse, cioè devono contenere almeno otto caratteri e includere lettere, numeri e simboli.
- Non bisogna utilizzare informazioni personali come il nome, cognome, data di nascita, nome del coniuge o dei figli.
- Cambiare regolarmente la password aiuta a prevenire la sua violazione a lungo termine: è consigliabile farlo almeno una volta ogni tre mesi.
- L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza alla password.
- Una password generata casualmente, utilizzando una combinazione di numeri, lettere maiuscole e minuscole e simboli, è una delle opzioni più sicure.
- Un'altra soluzione può essere una passphrase, una serie di parole casuali messe insieme per creare una password. Le frasi hanno la stessa sicurezza delle password con caratteri casuali, ma sono più facili da ricordare. Ad esempio, la frase 'tre gattini rosa' può essere convertita nella password '3GattiniRosa!'. Questo tipo di password può essere più facile da ricordare e quindi meno probabile che si senta il bisogno di appuntarla in file terzi.
- Una tecnica utile per creare una password complessa, ma facilmente memorizzabile, è quella utilizzare le prime lettere di una frase significativa: ad esempio, 'Il mio primo cane si chiamava Fido' diventa "IMpcscF!".
- Un gestore di password può aiutare a creare e memorizzare password uniche e complesse per ogni account come fosse una cassaforte digitale. Si tratta di programmi o app che archiviano in modo sicuro e crittografato le credenziali di accesso e l’utente avrà a disposizione tutte le sue password ogni volta che ne ha bisogno.