Tratto dallo speciale:

Sistemi e metodi per password sicure

di Anna Fabi

5 Maggio 2022 10:14

World Password Day 2022: come diversificare e gestire le password di accesso per proteggere con efficacia i propri dati informatici.

Ancora oggi, 23 milioni di persone in tutto il mondo usano come password la sequenza numerica “123456”. In occasione del World Password Day, ricordiamo dunque quali sono gli errori da non commettere nella scelta e nella gestione di credenziali e password, praticamente indispensabili per qualunque attività, pubblica e privata, professionale o personale.

Online banking, social network e sistemi aziendali di amministrazione o fruizione hanno infatti tutti in comune la necessità di adottare credenziali di accesso. Si può fare da sé o affidarsi ad un software di creazione e gestione password. Se non si vuole delegare il tutto ad un sistema di password manager, però, è utile conoscere le regole di composizione delle credenziali più sicure, al fine di una facile e corretta memorizzazione. Partendo da un punto fermo: diversificare, complicare e ricordare facilmente le password di accesso sono i  tre requisiti essenziali per proteggere con efficacia  i dati informatici.

Come creare password sicure

Mentre l’ID potrebbe anche circolare in chiaro, la password non deve mai essere intellegibile, intuibile o ricavabile facilmente. Più facile a dirsi che a farsi. Per soddisfare l’esigenza è di renderla contemporaneamente diversificata per ogni sistema, il più complicata possibile e di facile memorizzazione basta applicare una regola aurea: mai scegliere una parola ma il risultato di una formula  nota solo all’utente, da cui discendono le altre.

  • Lunghezza almeno 14: un attacco a forza bruta (che tenta tutte le possibili varianti) richiederebbe tempi abbastanza lunghi per il comune cyber-criminale.
  • Mix di lettere, numeri e caratteri speciali: le combinazioni possibili crescono esponenzialmente con rispetto al set di caratteri per ogni posizione.
  • Senso: caratteri a caso sulla tastiera creano password complesse ma non memorizzabili, meglio una frase di cui inserire prima le consonanti, poi le vocali e poi la punteggiatura o i caratteri speciali.
  • Caratteri speciali al posto delle lettere: ad esempio$ per la S, “zero” per la O, € per la E.
  • Riferimenti: si può abbinare la password al servizio per cui serve, aggiungendo caratteri speciali o numeri prima, dopo o nel mezzo.
  • Formule: si può scegliere una formula matematica o una serie numerica arricchita dii altri caratteri (es:: pi greco è 3.141592653589793238…).
  • Aggiornamento: cambiare password a intervalli regolari per stroncare eventuali attacchi ripetuti nel tempo al proprio account.

Password da evitare

  • Dati personali: nascita e matrimoni, nomi e cognomi, codice fiscale.
  • Ripetizioni di lettere, caratteri e numeri.
  • Notorietà: frasi famose, parole lunghe dal dizionario 0 troppo comuni (Dio, Sesso, Amore) che troneggiano nei dizionari degli hacker per i sistemi “forza bruta”.
  • Trascrizione: non custodire le password in nessun luogo fisico o digitale.
  • Comunicazione: non citarle al telefono, via mail o per SMS.

Alcuni sistemi software, comunque, misurano il grado di complessità evidenziando in verde o in rosso il grado raggiunto: è sempre bene ascoltare i suggerimenti dati per una ulteriore ottimizzazione della password.

=> Password: 3 minacce e 3 strategie per proteggersi

Come proteggere le password da ogni attacco

  1. Attacco phishing: in questo caso, una delle precauzioni più efficaci è l’autenticazione in due fasi, ossia un livello ulteriore di sicurezza che richiede all’utente di inserire una seconda chiave, in genere ricevuta via SMS.
  2. Dictionary hacking: contro il tentativo di decifrare la password attraverso la sua struttura, il modo migliore per difendersi è scegliere password prive di senso compiuto, evitando nomi, date o parole ma optando per una combinazione alfanumerica che preveda anche maiuscole e minuscole, numeri e simboli.
  3. Keylogger: contro i programmi attivati da malware che registrano i tasti premuto sul computer o la schermata video del dispositivo, è necessario  utilizzare una password unica per ciascun account e ricorrere eventualmente ad un gestore di password.