Le password rappresentano la forma di difesa informatica “basilare”, capace di proteggere dati e informazioni personali da hacker e pirati informatici. Per questo creare una password efficace è fondamentale, specie quando si utilizzano social e altri profili web, ed è anche possibile. In questo articolo vi spieghiamo come.
Con il passare degli anni, al potenziarsi delle tattiche di attacco degli hacker, sono state sviluppate tecniche sempre più elaborate per generare password sicure. Si va dalla combinazione di caratteri alfanumerici all’utilizzo di software appositivi, sino all’impiego di un dado e una lunga lista di parole di senso compiuto.
L’importante, ricordano gli esperti di sicurezza informatica, è non utilizzare informazioni personali o parole comuni all’interno delle chiavi di accesso utilizzate per i profili social o gli account di posta elettronica: si finirebbe solamente con il favorire il lavoro degli hacker.
Gli attacchi informatici sono sempre in aumento, sia per quantità che per pericolosità per questo una password complessa, a prova di compromissione continua a rappresentare uno dei requisiti indispensabili per gestire la nostra vita digitale in tutta tranquillità.
Come scoprire una password
Quando arriva il momento di rubare password, infatti, i pirati informatici non vanno molto per il sottile. E, soprattutto, utilizzano mezzi completamente automatizzati così da non dover perder troppo tempo. La tattica più utilizzata è quella dell’attacco a dizionario: sfruttando un database composto da stringhe e parole di senso compiuto, gli hacker provano a bucare il profilo degli utenti inserendo possibili password a ripetizione.
Una tecnica che torna particolarmente utile quando si è in possesso di grandi database con credenziali di accesso protette da crittografia: in questo caso per scoprire le password gli hacker trasformano il vocabolario (word list in gergo tecnico) in stringhe hash, così da confrontarle con quelle in possesso e trovare tutte le corrispondenze.
Come creare password sicure
Tra i vari consigli per creare password efficaci, dunque, il primo e più elementare è quello di non essere banali. Utilizzare il proprio nome e cognome o la propria data di nascita (così come ogni parola di senso compiuta presa singolarmente) o successioni di numeri come “12345678” è come invitare gli hacker a nozze. Bisogna, quindi, sforzarsi un po’ di più con la fantasia e trovare delle combinazioni particolari che possano rendere sicuri i propri account online.
Otto caratteri, almeno
Quando si parla di password efficaci e sicure, si parla senza ombra di dubbio di password lunghe. Ogni carattere aggiunto alle proprie chiavi d’accesso, infatti, rende più complesso e difficoltoso il compito degli hacker: in questo modo aumenta l’entropia e la quantità di lavoro (informatico, ma non solo) richiesta per scoprire la password di Facebook o della posta elettronica. Se fino a poco tempo fa i maggiori fornitori di servizi web consigliavano di creare password di otto caratteri, oggi la soglia si è spostata verso l’alto: il numero minimo di caratteri consigliati è dieci, ma se si fanno password di dodici caratteri sarà ancora meglio.
Combinata
Come detto inizialmente, utilizzare singole parole di senso compiuto non è consigliabile: si rischi di facilitare il lavoro di chi tenta come scoprire password. La password ideale (e non perfetta, dal momento che creare una chiave d’accesso perfetta è, probabilmente, impossibile) si compone di una sequenza casuali di caratteri alfanumerici: lettere maiuscole e minuscole, numeri e caratteri speciali (come punteggiatura, simboli matematici e altro).
Parole “modificate”
Nel caso in cui si volessero utilizzare comunque parole di senso compiuto, ci sono alcuni trucchi che permettono di fare password facili da ricordare, ma complesse da scoprire. Alcuni utenti, ad esempio, preferiscono sostituire i numeri alle lettere: lo “0” può andare al posto della “o”, mentre il “3” è il sostituto della “E”, l’”1” va al posto della “i” e il “5” come “S”. Una parola semplice come “Sentiero”, ad esempio, si può trasformare in “53nt1er0”: nulla di troppo complesso, ma sicuramente più difficile da scoprire per gli hacker.
Giocare con i dadi
Sempre restando nell’ambito delle parole di senso compiuto, una tattica che sta riscuotendo particolare successo negli ultimi anni è quella del diceware (dove dice sta per dado). Questa tecnica si basa su di un vocabolario formato da circa 60 mila termini di senso compiuto: parole utilizzate quotidianamente e identificate tramite un codice di cinque cifre da 1 a 6 (un codice, ad esempio, potrebbe essere 15465).
Per creare password con il diceware sarà sufficiente dotarsi di un dado a sei facce (ad esempio di quelli utilizzati per il Monopoli) e di un vocabolario creato ad hoc (si può utilizzare un dizionario diceware trovato in rete in qualunque lingua. A questo punto, tirando il dado per cinque volte, si creerà una sequenza di numeri da ricercare nel vocabolario scaricato.
La peculiarità di questa tecnica è che consente di generare passphrase (frasi d’accesso) facili da ricordare. Se, ad esempio, si vuole creare una passphrase di quattro parole di senso compiuto basta tirare il dado per venti volte, raggruppare i numeri a cinque a cinque e confrontare le quattro sequenze numeriche ottenute con il vocabolario diceware e il gioco è fatto.
Generatore di password
La strada più semplice per generare password efficaci è quella di ricorrere a generatori di password, software e applicativi web in grado di creare una stringa di caratteri casuali, utilizzando caratteri alfanumerici e seguendo le indicazioni fornite dall’utente. I password generator possono creare password sicure composte da dodici e più caratteri, mescolando lettere maiuscole e minuscole, numeri e caratteri speciali.
I servizi più conosciuti sono Identity Safe di Norton, LastPass, Password Generator e Random.org: basterà sceglierne uno, impostare le opzioni desiderate e premere su genera. In pochissimi istanti si avrà la propria password casuale e lunga, (quasi) impossibile da scoprire.
Strumenti per la creazione di password
In rete esistono un gran numero di strumenti per la creazione di password resistenti agli attacchi, capaci di non svelarsi ai tentativi di violazione basati su dizionari, composizioni di parole o espressioni comuni e sondaggi di algoritmi di sicurezza vulnerabili.
Uno dei più affidabili è ospitato sulla pagina Ultra High Security Password Generator (UHSPG) sul sito del ricercatore di sicurezza Steve Gibson (Gibson Research Corporation).
Ogni volta che l’utente visita o ricarica la pagina di UHSPG, il server genera “un set di password unico, di alta qualità e crittograficamente robusto” che è poi possibile adottare per proteggere un account o l’accesso a un software in locale.
In particolare, UHSPG crea tre diversi tipi di password, una da 64 caratteri esclusivamente esadecimali, una contenente 63 caratteri stampabili del codice ASCII e una composta da 63 caratteri alfanumerici (maiuscole, minuscole, 0-9).
Tutte le password vengono create a partire da un sistema di generazione di numeri pseudo-casuali, e la pagina web è programmata in modo da evitare di finire nella cache così da essere visibile esclusivamente all’utente e solo in quel preciso momento.
Mettere al sicuro le password
Il problema della password complesse, lunghe e casuali è che sono difficili da ricordare. Per questo molti utenti preferiscono creare password insicure, ma facili da ricordare. Per ovviare a questo problema e poter così utilizzare chiavi d’accesso che proteggano effettivamente i nostri dati si possono utilizzare i password manager.
Si tratta di software ed applicazioni, sia installabili sulla memoria del dispositivo sia utilizzabili online, che consentono di salvare in maniera sicura le credenziali di accesso ai vari servizi. In questo modo sarà sufficiente collegarsi alla pagina di login per veder comparire automaticamente il nome utente e la password scelta e non si correrà più il rischio di dimenticarli. Vale la pena sottolineare che, nella gran parte dei casi, non è necessario installare alcun software aggiuntivo: i browser più utilizzati come Chrome e Firefox integrano, tra le varie funzionalità, un password manager pratico e sicuro.
Come testare la sicurezza password
Avete finalmente scelto la vostra chiave d’accesso casuale, alfanumerica, lunga o composta da più parole? È possibile testare la sicurezza della stessa prima di utilizzarla. Sul web sono presenti diversi servizi che consentono di verificare quanto sia “forte” la password e forniscono, allo stesso tempo, un’indicazione su quanto tempo ci potrebbe mettere un hacker a scoprirla.
Tra i servizi più conosciuti ed utilizzati dagli utenti: Kaspersky secure password checker, The password meter, How secure is my password. Tutti questi tool forniscono un’indicazione sulla sicurezza della password, accompagnata da alcuni dati “complementari”: lo strumento di Kaspersky, ad esempio, indica, quanto tempo è mediamente necessario per bucare il profilo, mentre il password meter assegna un punteggio alla password in base ad alcuni criteri di sicurezza seguiti (lunghezza della chiave d’accesso, sequenza casuale o meno, presenza di numeri e caratteri speciali e così via).
Vengono inoltre fornite indicazioni su come ottimizzare la password nel caso in cui non risulti sufficientemente lunga o non contenga una varietà di lettere e simboli adeguata. Sviluppatori e utenti più timorosi possono verificare in prima persona la sicurezza del codice sorgente del sito su GitHub.
Se infine vogliamo essere davvero sicuri al 100% di aver creato una password infrangibile, possiamo verificare la sua eventuale presenza tra i database compromessi finiti on-line grazie al sito Pwned Passwords. In tal modo potremo testare la robustezza della parola chiave appena creata mettendola a confronto con il mezzo miliardo di credenziali violate già indicizzato dal servizio.
Formazione sicurezza informatica
La sicurezza informatica rappresenta un ambito di specializzazione che sta assumendo sempre più un peso di rilievo all’interno dei processi aziendali e del mondo del lavoro. Gli Ethical Hacker sono le figure di spicco in questo ambiente: padroneggiano gli stessi strumenti utilizzati dagli hacker e sfruttano il punto di vista di un attaccante per mettere in campo contromisure utili alla protezione dei sistemi.
Il corso Ethical Hacking Avanzato, proposto da Nexsys, permetterà di formare solide basi per arrivare a specializzarsi in tematiche particolari come Vulnerability Assessment, Penetration Test, Malware Analysis, Incident Response, Digital Forensics.
Se, invece, desideri approfondire le tue conoscenze in materia di sicurezza per un uso responsabile della posta elettronica e per policy di sicurezza e riservatezza delle password, consigliamo il corso Sicurezza Informatica per utenti.
Scegli di formare il tuo personale tecnico attraverso corsi di informatica a Verona, corsi sulla sicurezza informatica a Vicenza, on-line e in presenza su tutto il territorio nazionale.
