La tua password è davvero sicura?

La notizia sorprendente è che nel 2016 la password più utilizzata al mondo è “123456”.
Spesso la pigrizia e la voglia di registrarci velocemente ad un sito web ci fanno soprassedere su una questione importantissima: la scelta della password.

In questo breve articolo proverò ad approfondire alcuni punti importanti riguardanti le password che vengono utilizzate in ambito tecnologico, cercando di fornirvi più dettagli possibili su come renderle più sicure.

I caratteri speciali sono davvero utili?

Si, ma non del tutto. E’ errato pensare che una password come “Pluto123!” sia più sicura di una password come “plutovaincittàamangiarsitantapizzainsiemeapippo”. Questo perché la lunghezza della password è il requisito n°1 affinché essa venga considerata sicura. C’è poco da fare: più una password è lunga, più generalmente è sicura. Perfino il famoso Edward Snowden, in una sua intervista che potete trovare su Youtube, afferma che una password come “margaretthatcheris110%SEXY” sia molto più sicura di una serie di cifre, numeri e simboli impossibili da ricordare.
Come consiglio, quindi, cerchiamo di utilizzare una password lunga, facile da ricordare, con qualche letterasimbolomaiuscola “di contorno”.

Devo cambiare frequentemente la mia password?

No, a meno che non ve ne sia una motivazione validi; la password deve essere cambiata se si sospetta un possibile rischio per la sicurezza. Se pensate che la password possa essere stata “trafugata” da qualcuno allora sì, fatelo subito.
A volte può capitare che alcuni siti internet ai quali ci siamo iscritti subiscano degli attacchi che mettono a repentaglio la sicurezza dei nostri account; spesso e volentieri queste compagnie ci comunicano di provvedere a cambiare le nostre credenziali il prima possibile, se succede.. Fatelo!

Le domande per il ripristino

Capitolo a parte. Queste domande, su alcuni siti internet, spesso sono la vera causa del furto di account. E’ ormai diventato facilissimo rispondere a queste domande in caso si conosca questa persona anche solo sommariamente.
Le domande per il recupero delle password spesso ci aiutano a recuperare i nostri account di cui non ricordiamo le credenziali, ma ci espongono egualmente a dei rischi per i malintenzionati. E’ molto probabile che questa tecnica di recupero delle password sia stata utilizzata per violare, nel 2014, gli account di centinaia di celebrità, nello scandalo noto come “ The Fappening
Cosa fare dunque? Abbiamo solo due strade: o non ci iscriviamo ai siti che offrono un recupero password attraverso un sistema del genere, oppure rispondiamo in maniera “non veritiera”. Solo così potremo essere al 100% sicuri.

Evitare il log-in tramite social network

Contrariamente a quanto si pensava in passato, sfruttare l’autenticazione attraverso Facebook-Twitter o Google, in verità non è una pratica così sicura.
Le ragioni sono due:

  1. Spesso i siti a cui accediamo in questo modo vengono a conoscenza di molte più informazioni di quante gliene avremmo fornite in caso di un’iscrizione standard.
  2. Queste autenticazioni utilizzano dei protocolli particolari, generalmente OAuth 2.0, che in caso di falle di sicurezza come successo in passato , esporrebbero tutti i nostri account collegati tramite questo sistema ad un grosso rischio.

Autenticazione a due fattori

La doppia autenticazione è sicuramente uno dei sistemi migliori per proteggere ulteriormente i nostri dati.
La maggior parte dei siti di un certo livello ormai supporta questa verifica a due passaggi. Questa funzione ci permette di proteggere il nostro account con un ulteriore livello di sicurezza, richiedendoci ogni qualvolta vorremo entrare nel nostro account, un codice di sicurezza casuale generato da una applicazione come Google Authenticator o ricevuto tramite SMS.

Password Manager?

I servizi più famosi come LastPass e 1Password ci aiutano a tenere al sicuro le nostre password in un unico “contenitore”, avendo il compito di ricordare solo una password, quella primaria. Una volta sbloccata la nostra cassaforte con questa password primaria, avremo accesso a tutte le password memorizzate al suo interno.
E’ il sistema migliore per non dimenticarci le password e per averle tutte concentrate in un unico posto, a patto che:

  1. Venga scelta una password principale MOLTO robusta
  2. Venga abilitata l’autenticazione a due fattori
  3. Non venga mai abbandonata la cassaforte “aperta” su un qualche dispositivo mentre ci allontaniamo da esso.

Non fare errori stupidi

Proprio così. Se scegliamo una password molto complessa, che poi scriviamo su un file di testo denominato “password.txt” e che lasciamo sul desktop del nostro computer.. poi non possiamo lamentarci se qualcosa è andato storto.

Occhio alle connessioni pubbliche

Se siamo in aeroporto, in un caffè pubblico, in stazione o in qualsiasi altro posto dove viene fornita una connessione gratuita, spesso neanche protetta da password… Evitiamo di inserire credenziali “sensibili” sui nostri dispositivi. Anche se difficile, non è impossibile intercettare i dati che noi inseriamo a schermo, prima che essi raggiungano i server di destinazione.


Paolo Giannone

forensics & IT expert