Successivo
microsoft password

Security

Password Day, i consigli degli esperti

Eugenio Moschini | 5 Maggio 2016

Sicurezza

Oggi è “la giornata mondiale della password” o World Password Day. Secondo il National Day Calendar, il ricercatore della sicurezza […]

Oggi è “la giornata mondiale della password” o World Password Day. Secondo il National Day Calendar, il ricercatore della sicurezza Mark Burnett fu il primo a incoraggiare i lettori, nel suo libro Perfect Passwords (nel 2005), ad avere un “giorno della password”, un giorno in cui aggiornare tutte le proprie password più importanti. Ispirandosi alla sua idea, nasce appunto il World Password Day: è dal 2013 che un consorzio di aziende del settore (capitanata da Intel Security, l’ex McAfee) “festeggia” il primo giovedì del mese di Maggio come World Password Day. Lo scopo è quello di creare consapevolezza, nell’utente, rispetto alla necessità  di avere password davvero “sicure”. Basta una disattenzione o una leggerezza per mettere a rischio tutta la propria vita digitale. Sul sito dedicato trovate alcuni video, che pur con ironia, pongono l’accento sulle varie criticità  e vi forniscono alcuni consigli su come creare la password “perfetta”.

 

È dal 2013 che, il primo giovedì di Maggio è il World Password Day.

È dal 2013 che, il primo giovedì di Maggio è il World Password Day.

Ma questa occasione ci sembrava anche la più propizia per raccogliere i diversi consigli e raccomandazioni degli esperti di sicurezza di Intel Security, Kaspersky, Sophos e TeamViewer . Ovviamente su molti punti coincidono (e non potrebbe essere diversamente), con consigli che a volte potrebbero sembrare banali, ma, a guardare i dati del sondaggio, evidentemente tanto banali non sono.

 

Sondaggio, dati preoccupanti

Dal sondaggio, realizzato da Intel Security su un campione di 2.000 utenti, traspaiono dati molto preoccupanti. In media ognuno di noi ha più di 27 account diversi (tra vita privata e lavoro), che richiedono una password. E quasi 4 utenti su 10 (il 37%) dimenticano almeno una password una volta la settimana.

Nel tentativo di ricordarle tutte, il 33% degli intervistati ha ammesso di scrivere, da qualche parte, le proprie password, mentre un 15% ha affermato di usare la stessa password per più account. Praticamente metà  degli intervistati ha una pessima gestione delle sue password: nel primo caso basta accedere al file (o anche al post it attaccato sul monitor) per “bucare” la sua vita digitale; nel secondo caso, invece, anche se la password potrebbe essere “forte”, basta una falla in uno degli account per comprometterli tutti.

 

Quanto è sicura la mia password?

Prima di passare ai consigli degli esperti, vi invitiamo a provare quanto sono “sicure” le password che usate. Online ci sono diversi tool che vi indicano in quanto tempo sarebbe possibile craccare le vostre password. Tra i diversi tool online ve ne indichiamo due: How Secure Is My Password e Kaspersky Secure Password Check.

Anche se si tratta di tool online sicuri vi invitiamo a non usare le vostre “vere” password, ma password similari. Per esempio, invece di Eugenio71 potreste provare con Michele75. E vedreste che nonostante la maiuscola e i caratteri numerici è tutt’altro che una password sicura. Si cracca in un tempo misurato in minuti.

Visto che entrambi i tool sono in inglese (e quindi si appoggiano a dizionari inglesi) non pensate che la vostra cioccolatofondente (facile da ricordare e apparentemente sicura, secondo i tool, visto che servirebbero 98 anni per il Tianhe-2, il supercomputer più potente al mondo) sia in realtà  così sicura.

Basta sapere la vostra nazionalità  (e quindi cambiare il dizionario alla base degli attacchi) e la vostra apparente sicurezza va a farsi benedire. Provate con darkchocolate e vi accorgerete che unire più parole, in una frase di senso compiuto, non è una buona strategia. A un normale computer bastano 5 ore.

 

I consigli degli esperti

 

Abbiamo “mixato” i consigli di Intel Security, Kaspersky, Sophos e TeamViewer. Ecco le dieci regole d’oro, da seguire sempre, non solo nel “giorno della password”:

 

  • Siate impersonali: non utilizzate nomi (non solo di persone, ma anche dei vostri animali domestici) e date che hanno un significato personale. Con un po’ di social engineering i cyber criminali possono trovare queste informazioni sui vostri account dei social media e provare a indovinare le password.
  • Non usate “semplici” parole, sequenze o altre combinazioni: sembra banale, ma, a vedere le classifiche delle password più utilizzate, evidentemente non è così. Dimenticatevi perciò “password” “123456” “qwerty”, ma anche, come abbiamo visto prima “Eugenio71” o “cioccolatofondente”.
  • Usate tutta la tastiera: non basta creare password lunghe (minimo 8 caratteri) se usate le sole lettere minuscole. Usate anche lettere maiuscole, cifre e simboli speciali. E mixateli tra loro! Non basta sostituire la a con @ per avere una password robusta. Anche l’alternanza è importante: una password come “Ninja1!” non è sicura come sembra, visto che può essere craccata in soli 7 minuti!
  • Siate personali: sembra un controsenso dopo che avete letto il primo consiglio… In realtà  potete creare password molto complesse ma facili (per voi) da ricordare. Come fare? Pensate a una frase che per voi abbia senso come “rosso colore preferito Valentina” e trasformatela, alternando maiuscole e minuscole e inserendo caratteri speciali ($ invece di S, 1 o ! invece di I, 3 invece di e, @ invece di a e così via). Avrete la password “R0$$c0L0r3Pr3F3r!T0v@L3nT!n@“. Non solo sarebbe necessario più di un miliardo di anni (anche al più potente supercomputer), ma ricorderete anche qual è il colore preferito della vostra fidanzata. Il difetto di questo metodo? Che anche se non la dimenticherete mai, potrebbe essere difficile ricordarsi l’alternanza corretta di maiuscole/minuscole. Per digitarla in maniera automatica (senza doverla scrivere su un foglietto di carta o un file txt!) Kaspersky consiglia di digitarla sulla tastiera qualche dozzina di volte, in modo che venga più naturale.
Potete creare password molto complesse ma facili (per voi) da ricordare. Pensate a una frase che per voi abbia senso come

Potete creare password molto complesse ma facili (per voi) da ricordare. Pensate a una frase che per voi abbia senso come “rosso colore preferito Valentina” e trasformatela, alternando maiuscole e minuscole e inserendo caratteri speciali ($ invece di S, 1 o ! invece di I, 3 invece di e, @ invece di a e così via): avrete la password “R0$$c0L0r3Pr3F3r!T0v@L3nT!n@”. Al più potente supercomputer servirebbe un miliardo di anni!

  • Non condividetele: per definizione una password è una parola o una frase segreta, non condividetela mai! Se a casa avete un desktop, un notebook o un tablet in condivisione, con vostra moglie/marito o i vostri figli, non dategli mai le vostre password. Non per mancanza di fiducia, ma perché – senza volerlo – potrebbero rivelarla. Se avete computer condivisi, meglio creare tot account separati.
  • Cambiatele spesso: visto che è sempre una questione di tempo (per craccare una password), è importante cambiarle regolarmente, anche se utilizzate password sicure. Potreste annotare la “scadenza” in agenda. Una simpatica definizione (che racchiude l’importanza del punto 5 e 6) è che “Le password sono come le mutande: vanno cambiate regolarmente e non si mostrano in pubblico!”
  • Non usatele più volte: avete una “super password”, ma usate solo quella. Per tutto. Dall’home banking all’email, dai diversi social network al sito di incontri. Anche se è una pratica abbastanza comune (come emerge dal sondaggio di Intel Security) usare una o due password affidabili per tutto è una pessima strategia. Forse i cyber criminali potrebbero avere qualche problema a sottrarre le credenziali d’accesso dai database della vostra banca, ma potrebbero farlo ben più facilmente da un sito di incontri mal protetto. E a questo punto scatterebbe l’effetto domino: tutti i vostri account potrebbero essere facilmente violati, uno dopo l’altro.
  • Usate un password manager: abbiamo visto che creare una password facile da ricordare e affidabile non è difficile, il difficile diventa creare (e ricordare) una trentina di password diverse, ricordandosi poi, per ognuna, a quale servizio corrisponde. È un punto su cui tutti gli esperti sono d’accordo: scegliete un password manager, che custodisca tutte le vostre password al sicuro. Create una password principale robusta (come quella di esempio del punto 4). E avrete una password sola, per quanto difficile, da ricordare!
  • Installate un software antimalware: qual è la connessione tra sicurezza di una password e malware? La connessione è che vi serve ben poco la password più robusta del mondo, se sul vostro sistema è stato installato, ovviamente a vostra insaputa, un keylogger. Questo programma può catturare tutto quello che digitate, password incluse, e inviarlo a terzi (non certo ben intenzionati).
  • Attivate l’autenticazione a due fattori: oltre alla password, soprattutto sui servizi più importanti (come l’home banking o la carta di credito), attivate un’autenticazione a due fattori. Ovvero per l’autenticazione al servizio non basta la password, ma serve un secondo fattore; spesso è un codice di sicurezza che vi viene inviato come messaggio di testo su un dispositivo pre-registrato come affidabile (tipicamente il vostro smartphone). Nella malaugurata eventualità  che la vostra password venisse violata, ci sarebbe un’ulteriore barriera da superare.

 

 

Per maggiori approfondimenti e come ulteriori spunti di partenza, vi rimandiamo a queste pagine: il blog di TeamViewer, il blog di Kaspersky, la guida di Sophos.