Come creare una Password sicura

Cari lettori di Tecnogalaxy, oggi riprenderemo l’argomento password, andremo a vedere come creare una password sicura, quale strategia utilizzare e come ricordarla.

In giro per il web si trovano vademecum che dicono che per avere una password sicura deve essere composta con…. lettere maiuscole e minuscole, simboli, numeri, non utilizzare parole del dizionario, non utilizzare frasi di senso compiuto e bla bla e chi ne ha più ne metta.

Crea la tua password e ti ritrovi con P!8G@$$s0D1971 hahahah come fai a ricordarti una password così?

Mai sentito parlare di passphrase?

Se invece di scrivere P!8G@$$s0D1971 scrivessi mare salto gino erba sole rappresenta una password ben più sicura di quella di prima?

La password scritta così è detta passphrase, è una sequenza casuale di parole comuni molto più facile da ricordare rispetto alle password convenzionali, ma molto più difficile da violare per un malintenzionato.

Una volta stabilita la password è strettamente consigliabile cambiarla in tutti i punti dove è utilizzata, social, mail etc….

Vediamo i metodi più comuni utilizzati dai malintenzionati per scoprire le password.

Attacco a Password comuni

Una password semplice come potrebbe essere: password, 123456 è velocissima da hackerare da un malintenzionato.

Attacchi di forza bruta

Se il tuo nome utente e la tua password vengono esposti durante una fuga di dati, un malintenzionato può utilizzare i cosiddetti “attacchi di forza bruta” per decrittare i dati.

Ci sono dei programmi che possono provare tutte le password possibili testando centinaia di migliaia di possibili combinazioni, fino a trovare quella corretta.

Anche se la tua password conteneva lettere maiuscole e minuscole e caratteri speciali, le tecnologie moderne consentono di violare una password di 8 caratteri in circa due ore.

Stai cambiando idea?

Riutilizzo delle credenziali

Dopo che un malintenzionato ha scoperto il nome utente e la password di un account, la prima cosa che farà sarà quella di provare queste credenziali in tutti gli altri account o social dello stesso utente.

Se avrai utilizzato lo stesso account e la stessa password per altri servizi o siti , ti lascio immaginare cosa potrebbe succedere…il malintenzionato avrà accesso a tutto.

Allora cos’è una passphrase?

Come descritto prima, una passphrase è una semplice raccolta di parole comuni combinate assieme in maniera casuale all’interno ad esempio di una frase. (esempio di prima mare salto gino erba sole)

Ovviamente se ci pensiamo le password migliori sono quelle più semplici da ricordare, e difficili da violare da un malintenzionato.

Le passphrase sono password migliori perché utilizzano parole reali che si possono ricordare facilmente, ricordare un insieme di lettere, simboli P!8G@$$s0D1971 etc…. diventa piuttosto difficile se non impossibile. Le passphrase essendo molto lunghe sono difficili da violare con attacchi di forza bruta o altre tecniche. Quando si compone una passphrase per renderla veramente robusta le parole in essa contenute devono essere davvero in ordine causale.

Come possiamo creare una passphrase?

Ci sono svariati modi per creare una passphrase, la cosa importante è non scegliere da soli le parole.

Le nostre parole hanno un significato, perciò li rende indubbiamente difficile a generare passphrase veramente casuali. Possiamo utilizzare un generatore online di passphrase casuali ad esempio, così da procedere in autonomia.

Potremmo utilizzare Diceware, una tecnica per la generazione di passphrase, creato dall’esperto informatico Arnold Reinhold.

La tecnica prevede l’impiego di un semplice elenco di parole, ciascuna corrisponde a un numero di 5 cifre che possiamo ottenere lanciando un dado.

Entriamo nel dettaglio della tecnica da utilizzare, scaricando l’elenco di parole Diceware in italiano, (puoi scaricarlo da questo link).

Adesso lanciamo un dado cinque volte e segniamoci i numeri in ordine, trova la parola corrispondente al numero presente nel file appena scaricato e scrivila, ripetiamo l’operazione fino a ottenere 6 parole.

Se vogliamo aumentare la complessità e la robustezza della nostra passphrase, aggiungiamo maiuscole o numeri e almeno un simbolo, anche perché alcuni servizi in caso di registrazione i richiedono che la password contenga simboli speciali.

Ovviamente dobbiamo controllare che il risultato della nostra passphrase contenga almeno 17 caratteri e che la frase ottenuta non sia di senso compiuto, in questo caso ripetiamo l’operazione.

Il risultato ottenuto con questa tecnica è decisa dai dadi in modo causale, perciò non dovrai cambiare o sostituire alcune parole.

Ti chiederai a questo punto le password appena decisa possiamo utilizzarla d’dappertutto, noooooooooo, per la sicurezza è meglio creare una password per ogni servizio.

A questo punto avrai capito che la password sicura dovrà essere composta:

Deve essere lunga, minimo 17 – 20 caratteri.
Deve essere casuale, un malintenzionato è bravissimo a riconoscere gli schemi per realizzare uno script per scoprire la password.

Come facciamo per aumentare ancora di più la sicurezza?

Attiviamo l’identificazione a due fattori, (tramite un PIN, un app, un SMS, impronta digitale).

Se ci pensi già utilizzi l’identificazione a due fattori, ogni volta che prelevi denaro al bancomat cosa fai?

Utilizzi la carta -il bancomat- e poi qualcosa che conosci (il PIN).

Ovviamente potrai abilitare l’autenticazione a due fattori alla maggior parte dei tuoi account online: la posta elettronica, i vari social, la propria banca etc….richiederà più tempo ma ne varrà la pena, non lasciare mail il proprio device a persone sconosciute o che non vi fidate al 100%

Con questi piccoli accorgimenti/consigli potremo stare tranquilli.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego
IT Manager