Per il vostro e-banking, per ogni negozio online e per ogni account di e-mail avete un’apposita password forte che riuscite a ricordare senza problemi? Fantastico, allora siete in una botte di ferro. Se però, come accade alla maggior parte di noi, trascorrete più tempo a ripristinare le password dimenticate che a crearne di inattaccabili, allora vale la pena leggere il nostro blog.
Ebbene, per una password sicura è necessaria una combinazione ben ponderata tra lettere maiuscole e minuscole, numeri e caratteri speciali, ognuno in misura adeguata. Una password forte è costituita da almeno dodici caratteri, comprensivi di lettere maiuscole e minuscole, numeri e caratteri speciali.
In breve, non si può dire che le password lunghe siano più sicure di quelle corte. Ma ovviamente una parola chiave come «AAAAAAAAAAAAAAAAAAAAA» è del tutto inutile. Ma anche le serie di numeri come «123456» oppure lo schema «qwerty» delle tastiere sono tutt’altro che sicure. Le password troppo semplici rappresentano un facile bottino anche per gli hacker alle prime armi. E, no: anche variazioni sul tema come «Passw0rd» o «123451» non le rendono più sicure.
In generale è opportuno evitare l’impiego di parole di senso compiuto reperibili nel dizionario, anche se scritte con combinazione di minuscole e maiuscole a cui si aggiungono caratteri speciali e numeri.
Un esempio: da un punto di vista puramente formale «Vertice-G-7» soddisfa i requisiti per una password sicura, ma poiché si tratta di una parola reale il grado di sicurezza risulta già compromesso. Per quale motivo? Con l’ausilio di piccoli programmi (script), gli hacker possono testare in tutta semplicità ogni parola presente in un dizionario. In questo caso la password verrebbe rapidamente scoperta.
In ultima analisi la sicurezza è costituita da un mix ben diversificato di formati, a prescindere dal fatto che si tratti esclusivamente di caratteri speciali o che gli stessi siano presenti in numero elevato.
Invece di lavorare con script automatizzati, è possibile che gli hacker visitino i profili ad accesso pubblico della vittima target per reperire preventivamente informazioni su di essa. Spesso e volentieri proprio questi elementi sono infatti molto gettonati come password. Del resto non c’è da stupirsene, visto che sono molto facili da ricordare. Se ad esempio un utente ha indicato nel suo profilo pubblico che il suo coniglio si chiama Maxi, che la sua squadra del cuore è il Barcellona e che è contentissimo della sua nuova Audi, gli hacker hanno già trovato tre password potenziali. A livello di contenuto le password non dovrebbero quindi avere alcuna attinenza con l’utente.
Secondo uno studio condotto dal gestore di password NordPass, nella protezione dei dati sensibili, «123456» è stata la password più utilizzata nel 2020, scalzando «12345», la capolista del 2019 scivolata all’ottavo posto. Nella top ten troviamo inoltre «password», «qwerty» o «login».
No, poiché tali regole costituiscono soltanto delle condizioni quadro e, in linea di principio, sono concepite per rendere le password più sicure proprio attraverso la loro applicazione. Anche se in un primo momento tali indicazioni appaiono macchinose, il loro fine ultimo è quello di accrescere la sicurezza.
Se in vari siti si utilizza sempre lo stesso username, ad esempio l’indirizzo e-mail, è opportuno fissare password diverse per ognuno di essi. Ed ecco perché: se un hacker riesce a violare la sicurezza di un negozio online, poi può accedere a tutti gli altri siti per i quali viene impiegata la stessa combinazione. Il rischio di danni consequenziali aumenta quindi nettamente.
Per risolvere questo problema esistono i cosiddetti «password manager». Si tratta di programmi che, una volta installati sui dispositivi, gestiscono le credenziali di accesso e le memorizzano in modo sicuro. In pratica è come se allestiste una sorta di elenco in cui sono annotati tutti i dati di accesso. Questa «lista» viene inoltre protetta e salvata con un’apposita password separata – la master password. In questo modo ha accesso all’elenco soltanto la persona che conosce tale parola chiave sovraordinata.
Assolutamente sì. Infatti, per quanto ci si possa impegnare a ideare autonomamente parole chiave complesse, ogni persona tende a reiterare determinati modelli comportamentali ed è quindi più «trasparente» e prevedibile.
Il vantaggio del generatore di password è che il sistema opera su una base di pura casualità, fondandosi sulle linee guida per password sicure. Il generatore non scivola quindi nei pattern suindicati e, a differenza delle persone, non ha problemi con password lunghe e complesse.
Sì, lo sono, in quanto i dati di accesso vengono salvati in maniera criptata, localmente sul dispositivo stesso oppure, in caso di impiego di più terminali (ad esempio smartphone e laptop), sul cloud.
La master password dovrebbe rispettare tutte le consuete regole di sicurezza in materia e, al contempo, l’utente dovrebbe essere in grado di tenerla a mente con facilità. Se si dimentica una master password, nel peggiore dei casi i dati di accesso salvati non sono più accessibili. Ciò significa che gli accessi agli account gestiti attraverso il password manager devono essere ripristinati in modalità manuale e poi reimpostati. Al fine di accrescere ulteriormente il grado di sicurezza, per molti password manager è possibile installare un’autenticazione a due fattori.
È opportuno e consigliabile cambiare una password ogni tre-sei mesi, ma anche immediatamente se notate irregolarità o attività insolite nel vostro account.
Anche in caso di impiego di una WLAN pubblicamente accessibile e quindi non sicura aumenta il pericolo che i dati del terminale impiegato possano essere letti. Negli ultimi tempi si registra inoltre un incremento degli episodi di fughe di dati su grandi piattaforme come comparis.ch o LinkedIn. Anche in questo caso, per i relativi utenti l’imperativo categorico è uno solo: cambiare la password.
Oltre l’80% delle violazioni di sicurezza causate dagli hacker è riconducibile a password deboli o rubate.
Come dice il nome stesso, in questa forma di autenticazione il login standard, costituito dal binomio username e password, viene integrato con un ulteriore fattore trasmesso via app alla piattaforma o mediante SMS direttamente all’utente. Il login viene perfezionato soltanto dopo l’immissione corretta di entrambi i fattori.
Questa forma di autenticazione multilivello consente di accrescere notevolmente la sicurezza. Il login non è infatti collegato soltanto a un semplice set di dati, bensì anche a un terminale fisico – nella maggior parte dei casi uno smartphone.
La probabilità che vengano sottratti entrambi i fattori (set di dati e terminale) è estremamente remota.
Una password viene craccata quando si cerca di indovinarla attraverso un processo di «trial and error». Se una password è costituita ad esempio soltanto da una singola cifra compresa tra 0 e 9, sono sufficienti pochi tentativi per scoprirla.
Con l’aumento della complessità (attraverso la combinazione di lettere maiuscole e minuscole, cifre e caratteri speciali) cresce anche il numero di tentativi necessari con un sistema automatico di «trial and error» per indovinare la combinazione giusta.
La vostra password dovrebbe: