Le password del XXI secolo

7 Giu 2013

In base alle norme di sicurezza informatica, praticamente ovunque (durante la creazione di un nuovo account, nella pagina di supporto tecnico di Facebook o persino nei regolamenti aziendali) si consiglia di usare una password forte. Il tempo passa, ma il consiglio è sempre valido. Tuttavia il concetto di “password forte” potrebbe essere cambiato con il passare degli anni. Se dobbiamo aprire un nuovo account oggi e creare una password, non conviene affidarsi alle raccomandazioni degli anni novanta. Perciò, riconsideriamo insieme i metodi per creare una password forte e affidabile.

Password XXI secolo

Password forti

Gli utenti hanno sempre utilizzato password formate da lettere combinate, numeri e caratteri speciali per proteggere i loro computer, file e cartelle. Ma anche quando si ricorre alla crittografia non siamo completamente al sicuro: anche se crittografate, un hacker potrebbe comunque riuscire a indovinarle, digitando la password mille volte fino a quando non la indovina. Questo metodo si chiama bruteforcing (noto in italiano come ‘metodo forza bruta’ o ‘ricerca esaustiva’) ed è abbastanza afficace con le password corte. Quanto più complessa e lunga è una password, tanto maggiore sarà il tempo per realizzare una ricerca esaustiva. Le password di 3-4 caratteri permettono all’hacker di indovinare la password in pochi secondi; ogni carattere moltiplica la difficoltà per dieci. Lo stesso si applica alla combinazione di lettere, simboli e numeri. Includerli riduce incredibilmente la possibilità di indovinare la password via forza bruta.

Se la password è una parola, non importa quanto sia lunga o originale, sarà comunque facile da indovinare. Aggiungere un numero alla password potrebbe di per sé renderla molto più sicura. Ecco perché gli esperti raccomandano l’uso di lettere, numeri e caratteri non alfanumerici (ma attenzione: sono più difficili da indovinare, ma anche da memorizzare).

Oggi la situazione è un po’ cambiata. Molte piattaforme online bloccano gli attacchi forza bruta, ma questo non significa che questi attacchi siano scomparsi. Le botnet di computer infetti danno all’hacker un certo potere sui computer, potere che può essere utilizzato per craccare le password.

Una nuova era

Oggi le cose sono diverse: tutti noi siamo iscritti a una dozzina di servizi online e ogni sito richiede una password. Usare sempre la stessa è un rischio molto grande: se l’hacker la indovina avrà la chiave di acceso alla tua intera vita online. Ma ci sono poche persone al mondo che riuscirebbero a indovinare una password come Xp89$ABG-faw?6. Dunque, come possiamo scegliere una password che sia sicura e allo stesso tempo facile da memorizzare?

La ricetta per la password perfetta

Regola numero: la password deve essere lunga. Scegli una parola che abbia senso; aggiungi qualche carattere, ma senza renderla totalmente incomprensibile. Usa una frase chiara, facile da ricordare e poi introduci qualche cambiamento di modo che nessuno la possa indovinare. Una password come Nulla3Bianco0Nero9 è una frase riconoscibile, vero? È sicuramente più facile ricordare una frase con un paio di modifiche, che una serie di caratteri senza senso. Ma fai attenzione: parole come Shakespeare o nomi di personaggi famosi non sono la scelta migliore. Inventa tu la tua propria frase e usa una frase diversa per ogni servizio online.

Per quanto riguarda la lunghezza e la complessità della tua frase, cerca di tenere in mente: il valore del dato da proteggere, la frequenza con cui usi la password e se la utilizzerai attraverso un dispositivo mobile. Questi fattori sono importanti nel momento in cui devi decide il che misura modificare la password. Per esempio, Nulla3Bianco0Nero9 è perfetta per una piattaforma musicale, ma per la tua casella di posta elettronica o la tua banca online si consigliano password ancora più complesse, come Nulla3Bianco0Nero9M@CiS0n0Sfumatur311! Infine, non ci stancheremo mai di ripeterlo: usa una password diversa per ogni account e basati su diverse frasi cifrate.

Attenzione: se vi imbattete in una di quelle piattaforma che applicano una limitazione alla lunghezza della password, è meglio non registrarsi.

NB: Se create una password di 10 caratteri usando le lettere dell’alfabeto latino, numeri e caratteri speciali, il numero delle combinazioni per realizzare un attacco forza bruta potrebbero essere pari a 2.8*1018. Una password composta da 4 parole molto comuni otterrà una combinazione pari a 1.6*1017. E se includiamo 5 parole, il numero delle combinazioni potrebbe raggiungere quota 3.2*1021. Dunque è meglio usare poche parole comuni ma modificate, che una frase lunga facile.

Un metodo moderno

Nonostante le frasi cifrate siano molto facili da usare rispetto a un guazzabuglio indefinito di caratteri, è importante che la password sia unica. Secondo un sondaggio, l’utente ha in media 5 account diversi. Ogni account dovrebbe avere la sua password (e sono tutte da memorizzare). Ci sono utenti però che hanno più di cinque account (e in questo caso è ancora più difficile memorizzare le password). Coloro che appartengono a questa categoria possono ricorrere ad alcune applicazioni di password storage. Kaspersky PURE include un modulo per l’immagazzinamento sicuro delle password atraverso un database contenente le credenziali di accesso dell’utente a tutti i possibili siti Web, risorse e pagine a cui è iscritto. Il database è criptato con algoritmi molto potenti; in questo modo il proprietario avrà bisogno di memorizzare solo una password: quella di accesso al database. Memorizza questa password e il tuo computer si prenderà cura di tutto il resto.