La guida

World Password Day, consigli per una password robusta

World Password Day, consigli per una password robusta
Il 5 maggio è la giornata dedicata alla diffusione delle buone tecniche da impiegare per proteggere i propri account professionali e privati. Aspetto che diventa ancora più importante alla luce del lavoro agile  
3 minuti di lettura

Creata da Intel nel 2013 e celebrata il primo giovedì di maggio, la giornata mondiale delle password - in inglese World password day - vuole ricordare quanto sia importante una politica accorta nella scelta delle nostre chiavi d'accesso.

Dovrebbe essere noto a tutti che utilizzare una sola password per più servizi o sceglierne di facilmente memorizzabili, aiuta soprattutto i malintenzionati che possono ricostruirle con relativa facilità. Tra le password più gettonate figurano ancora "123456" oppure il nome di un animale domestico o una data speciale. Quattro violazioni informatiche ogni cinque (l'81%) vengono perpetrate tramite l'uso delle credenziali degli utenti, motivo in più per scegliere password solide.

Quella di richiedere una password per permette l'accesso di un utente a un sistema informatico è un'idea che ha quasi 60 anni e che con il tempo è stata oggetto di migliorie le quali, almeno apparentemente, fanno fatica a entrare nelle abitudini delle persone.

Marco Ramilli, Ceo di Yoroi (Gruppo TinextaCyber), azienda che offre soluzioni per la sicurezza, ribadisce che: "Per un cybercriminale è semplice ricostruire la login costituita in genere dal nome o dall'indirizzo email di chi la usa, viceversa la password spesso è costituita da semplici nomi e parole legati ai nostri interessi, come il calciatore preferito o il nome dei figli e degli animali domestici, informazioni facilmente individuabili con una ricognizione dei social o facilmente aggirabili con software per la generazione di password. In aggiunta molti tendono a usare la stessa email di lavoro e la stessa password per accedere a servizi diversi, da quello per fare acquisti online a quelli social come Facebook, Instagram e Twitter e questo rende più facile il compito degli attaccanti".

Ecco qualche rapido consiglio per trovare password efficaci.

Password robuste

Una password dovrebbe contenere lettere maiuscole, lettere minuscole, numeri e caratteri alfanumerici (punti interrogativi o esclamativi, trattini, eccetera). Ci sono due metodi rapidi per sapere quanto è sicura una password: il primo è che non dovremmo poterla ricordare, il secondo è controllare quanto tempo impiegherebbe un hacker a violarla. Ci sono diverse risorse online che permettono di testare la robustezza di una password. Si può fare un test rapido collegandosi a questo sito, digitando una password semplice (per esempio girasole82) e poi provando con la password !GiRasole82! per comprendere quanta fatica in più farebbe un malintenzionato a violare un nostro account. I risultati forniti da siti simili non sono ovviamente una garanzia, ma rendono l'idea di quanto degli accorgimenti nella scelta delle password, anche piccoli, possono fare la differenza.

"Quando qualcuno viola i nostri account possiamo incorrere in diversi problemi, dal furto di identità, che si verifica quando qualcuno che finge di essere noi per ingannare gli altri, fino allo spionaggio dei documenti presenti nella nostra posta elettronica. Le tecniche sono molteplici e i delinquenti le conoscono tutte", osserva Ramilli.

Lo smart working spinge ognuno di noi a usare maggiore cautela: scegliendo password deboli mettiamo a rischio anche risorse aziendali. Va anche detto che le aziende, dal canto loro, dovrebbero imporre delle politiche per la composizione delle password che tendano a ridurre il rischio di violazioni.

Prendere le misure con il fenomeno

Ognuno di noi è portato a credere, per diversi motivi, che i nostri account online non sono oggetto dell'interesse degli hacker i quali, tuttavia, prendono soprattutto di mira interi database che contengono credenziali d'accesso ai siti e soltanto in modo marginale si concentrano su un singolo utente o un limitato gruppo di utenti. Il sito Have I been pwned? può facilmente ribaltare quest'ultima sensazione. È sufficiente digitare un indirizzo email che usiamo per accedere ai servizi online e scoprire quante volte è stato violato ovvero, in altre parole, quante volte nome utente e password sono stati razziati.

Anche se dovesse risultare che i nostri dati sono stati violati non occorre cedere al panico: in molti casi si tratta di credenziali datate che nel frattempo abbiamo già cambiato. Lo scopo non è quello di spaventare ma di sensibilizzare all'uso di password robuste.

Autenticazione a due fattori

Si tratta di un metodo di accesso a una risorsa che avviene mediante due diversi metodi di autenticazione. Di norma, dopo avere inserito le proprie credenziali di accesso viene anche inviato un messaggio al cellulare di chi si è dichiarato titolare dell'account a cui si sta cercando di accedere. I servizi più popolari lo prevedono: lo possono attivare gratuitamente gli utenti di uno dei tanti servizi offerti da Google, gli utenti di uno dei servizi Meta (qui le istruzioni per Facebook, qui quelle per Instagram), gli utenti dei servizi online di Microsoft e gli utenti Apple, soltanto per citare i più diffusi.

Se scarseggia la fantasia

Esistono strumenti, piccoli programmi, che fungono da concentratori di password oltre a suggerirne di solide. Se ne trovano di diversi tipi: gratuiti, a pagamento, che custodiscono le password online o sul disco fisso del proprio dispositivo. Basta effettuare una ricerca usando le parole "password manager" per trovarsi confrontati con una vasta scelta di soluzioni possibili. Sono buoni strumenti per generare password sicure.

Ricapitolando

  • Usare password diverse per ogni servizio online.
  • Evitare di utilizzare password simili tra loro e sforzarsi di fare uso di lettere maiuscole e minuscole, numeri e caratteri alfanumerici.
  • Cambiare le password con buona regolarità: "cambiare password" non vuole dire usare sempre la medesima seguita da un numero diverso, (girasole83, girasole99, ...) quanto usare password completamente diverse da quelle usate in precedenza.
  • Abilitare, laddove possibile, l'autenticazione a due fattori e, in caso di esaurimento della fantasia, ricorrere a un password manager.

"La password è uno strumento di accesso a risorse riservate che durante gli anni ha subito numerosi cambiamenti. Tali cambiamenti sono stati guidati da un lato dalla capacità computazionale degli avversari che con sempre più ostinata determinazione ne vogliono violare la segretezza, ma dall'altro lato la password è notevolmente cambiata in funzione dei contenuti che protegge. Più importanti sono i dati che vengono protetti da password maggiore dovrebbe essere la sua complessità e quindi diminuire il rischio di un accesso non autorizzato", conclude Ramilli.