A casa

I consigli più efficaci per una password sicura

Condividere su Facebook Condividere su Twitter Condividere su LinkedIn Condividere su Xing Convididere per e-mail

Per il vostro e-banking, per ogni negozio online e per ogni account di e-mail avete un’apposita password forte che riuscite a ricordare senza problemi? Fantastico,  allora siete in una botte di ferro. Se però, come accade alla maggior parte di noi, trascorrete più tempo a ripristinare le password dimenticate che a crearne di inattaccabili, allora vale la pena leggere il nostro blog.

  • Teaser Image
    Katrin Sprenger

    Katrin Sprenger, CEO della start-up Silenccio ed esperta in questioni di sicurezza sulle applicazioni online, vi svela come è possibile creare una password forte ed evitare gli errori più frequenti, oltre a illustrarci utili tool per l’archiviazione delle password.

Che cos’è più importante ai fini di una password sicura: la complessità o la lunghezza?

Ebbene, per una password sicura è necessaria una combinazione ben ponderata tra lettere maiuscole e minuscole, numeri e caratteri speciali, ognuno in misura adeguata. Una  password forte è costituita da almeno dodici caratteri, comprensivi di lettere maiuscole e minuscole, numeri e caratteri speciali.

In breve, non si può dire che le password lunghe siano più sicure di quelle corte.  Ma ovviamente una parola chiave come «AAAAAAAAAAAAAAAAAAAAA» è del tutto inutile. Ma anche le serie di numeri come «123456» oppure lo schema «qwerty» delle tastiere sono tutt’altro che sicure. Le password troppo semplici rappresentano un facile bottino anche per gli hacker alle prime armi. E, no: anche variazioni sul tema come «Passw0rd» o «123451» non le rendono più sicure. 

Quanto è sicuro combinare parole di uso corrente con caratteri speciali e numeri?

In generale è opportuno evitare l’impiego di parole di senso compiuto reperibili nel dizionario, anche se scritte con combinazione di minuscole e maiuscole a cui si aggiungono caratteri speciali e numeri.

Un esempio: da un punto di vista puramente formale «Vertice-G-7» soddisfa i requisiti per una password sicura, ma poiché si tratta di una parola reale il grado di sicurezza risulta già compromesso. Per quale motivo? Con l’ausilio di piccoli programmi (script), gli hacker possono testare in tutta semplicità ogni parola presente in un dizionario. In questo caso la password verrebbe rapidamente scoperta.

È quindi consigliabile utilizzare il massimo numero possibile di caratteri speciali?

In ultima analisi la sicurezza è costituita da un mix ben diversificato di formati, a prescindere dal fatto che si tratti esclusivamente di caratteri speciali o che gli stessi siano presenti in numero elevato.

Perché le informazioni personali come squadra del cuore, nome di un animale domestico o marca della propria automobile non sono idonee?

Invece di lavorare con script automatizzati, è possibile che gli hacker visitino i profili ad accesso pubblico della vittima target per reperire preventivamente informazioni su di essa. Spesso e volentieri proprio questi elementi sono infatti molto gettonati come password. Del resto non c’è da stupirsene, visto che sono molto facili da ricordare. Se ad esempio un utente ha indicato nel suo profilo pubblico che il suo coniglio si chiama Maxi, che la sua squadra del cuore è il Barcellona e che è contentissimo della sua nuova Audi, gli hacker hanno già trovato tre password potenziali. A livello di contenuto le password non dovrebbero quindi avere alcuna attinenza con l’utente.

Secondo uno studio condotto dal gestore di password NordPass, nella protezione dei dati sensibili, «123456» è stata la password più utilizzata nel 2020, scalzando «12345», la capolista del 2019 scivolata all’ottavo posto. Nella top ten troviamo inoltre «password», «qwerty» o «login».

Spesso per la definizione di una password vi sono regole ben precise. Ma in questo modo gli hacker non hanno vita più facile?

No, poiché tali regole costituiscono soltanto delle condizioni quadro e, in linea di principio, sono concepite per rendere le password più sicure proprio attraverso la loro applicazione. Anche se in un primo momento tali indicazioni appaiono macchinose, il loro fine ultimo è quello di accrescere la sicurezza.

Il fatto che per l’e-banking sia necessaria una password forte mi sembra evidente. Ma per ogni negozio online è davvero necessaria una password distinta?

Se in vari siti si utilizza sempre lo stesso username, ad esempio l’indirizzo e-mail, è opportuno fissare password diverse per ognuno di essi.  Ed ecco perché: se un hacker riesce a violare la sicurezza di un negozio online, poi può accedere a tutti gli altri siti per i quali viene impiegata la stessa combinazione. Il rischio di danni consequenziali aumenta quindi nettamente.

Ma è impossibile riuscire a ricordare un numero così elevato di password. Esistono dei tool appositi?

Per risolvere questo problema esistono i cosiddetti «password manager». Si tratta di programmi che, una volta installati sui dispositivi, gestiscono le credenziali di accesso e le memorizzano in modo sicuro. In pratica è come se allestiste una sorta di elenco in cui sono annotati tutti i dati di accesso. Questa «lista» viene inoltre protetta e salvata con un’apposita password separata – la master password. In questo modo ha accesso all’elenco soltanto la persona che conosce tale parola chiave sovraordinata.

  • Teaser Image
    Protezione contro la cybercriminalità

    Hacking, phishing, malware: in che modo posso individuare come utente i pericoli e i rischi su Internet e proteggermi contro la cybercriminalità?

    Articolo del blog

Un generatore di password mi aiuta a creare parole d’accesso forti e inattaccabili?

Assolutamente sì. Infatti, per quanto ci si possa impegnare a ideare autonomamente parole chiave complesse, ogni persona tende a reiterare determinati modelli comportamentali ed è quindi più «trasparente» e prevedibile.

Il vantaggio del generatore di password è che il sistema opera su una base di pura casualità, fondandosi sulle linee guida per password sicure. Il generatore non scivola quindi nei pattern suindicati e, a differenza delle persone, non ha problemi con password lunghe e complesse. 

Ma questi password manager sono sicuri?

Sì, lo sono, in quanto i dati di accesso vengono salvati in maniera criptata, localmente sul dispositivo stesso oppure, in caso di impiego di più terminali (ad esempio smartphone e laptop), sul cloud.

La parola chiave per il password manager, ossia la cosiddetta «master password» deve essere quindi ancora più sicura?

La master password dovrebbe rispettare tutte le consuete regole di sicurezza in materia e, al contempo, l’utente dovrebbe essere in grado di tenerla a mente con facilità. Se si dimentica una master password, nel peggiore dei casi i dati di accesso salvati non sono più accessibili. Ciò significa che gli accessi agli account gestiti attraverso il password manager devono essere ripristinati in modalità manuale e poi reimpostati. Al fine di accrescere ulteriormente il grado di sicurezza, per molti password manager è possibile installare un’autenticazione a due fattori.

Con quale frequenza dovrei cambiare le mie password?

È opportuno e consigliabile cambiare una password ogni tre-sei mesi, ma anche immediatamente se notate irregolarità o attività insolite nel vostro account.

Anche in caso di impiego di una WLAN pubblicamente accessibile e quindi non sicura aumenta il pericolo che i dati del terminale impiegato possano essere letti. Negli ultimi tempi si registra inoltre un incremento degli episodi di fughe di dati su grandi piattaforme come comparis.ch o LinkedIn. Anche in questo caso, per i relativi utenti l’imperativo categorico è uno solo: cambiare la password. 

Oltre l’80% delle violazioni di sicurezza causate dagli hacker è riconducibile a password deboli o rubate.

Che cos’è esattamente l’autenticazione a due fattori e qual è il suo grado di sicurezza?

Come dice il nome stesso, in questa forma di autenticazione il login standard, costituito dal binomio username e password, viene integrato con un ulteriore fattore trasmesso via app alla piattaforma o mediante SMS direttamente all’utente. Il login viene perfezionato soltanto dopo l’immissione corretta di entrambi i fattori.

Questa forma di autenticazione multilivello consente di accrescere notevolmente la sicurezza. Il login non è infatti collegato soltanto a un semplice set di dati, bensì anche a un terminale fisico – nella maggior parte dei casi uno smartphone.

La probabilità che vengano sottratti entrambi i fattori (set di dati e terminale) è estremamente remota. 

Come operano i cybercriminali per «craccare» una password?

Una password viene craccata quando si cerca di indovinarla attraverso un processo di «trial and error». Se una password è costituita ad esempio soltanto da una singola cifra compresa tra 0 e 9, sono sufficienti pochi tentativi per scoprirla.

Con l’aumento della complessità (attraverso la combinazione di lettere maiuscole e minuscole, cifre e caratteri speciali) cresce anche il numero di tentativi necessari con un sistema automatico di «trial and error» per indovinare la combinazione giusta.

Password sicure: i consigli più importanti

La vostra password dovrebbe:

  • avere una lunghezza cospicua – almeno 12 caratteri 
  • avere una certa complessità  
  • non contenere nessi con la vostra vita privata (nome di un animale domestico, data del matrimonio, nomi di parenti o amici, ecc.)
  • non essere una parola comune, presente nel dizionario
  • in via ideale,  essere salvata in un apposito password manager 

Articolo correlato

AXA e lei

Contatto Avviso sinistro Offerte di lavoro Media Broker myAXA Login Valutazioni dei clienti Portale officine Abbonare la newsletter myAXA FAQ

AXA nel mondo

AXA nel mondo

Restare in contatto

DE FR IT EN Avvertenze per l'utilizzazione Protezione dei dati / Cookie Policy © {YEAR} AXA Assicurazioni SA

I cookie e tool di analisi che utilizziamo ci permettono di migliorare la vostra fruizione del sito, personalizzare la pubblicità di AXA e dei suoi partner pubblicitari e mettere a disposizione funzioni social media. Purtroppo con Internet Explorer 11 non è possibile modificare le impostazioni cookie dal nostro Centro preferenze cookie. Se desiderate modificare tali impostazioni vi preghiamo di usare un browser aggiornato. Utilizzando il nostro sito Internet con questo browser acconsentite all’utilizzo di cookie. Protezione dei dati / Cookie Policy