Hai mai sentito parlare di Troy Hunt? È lui il fondatore australiano del sito Have I Bee Pwned? con la quale dal 2013 gli utenti possono verificare gratuitamente se il loro indirizzo di posta elettronica è stato violato in passato. Nel suo blog Hunt ha annunciato di aver scoperto una raccolta di milioni di indirizzi e-mail e password in un forum “nascosto”. Questo caso ci introduce al tema della sicurezza della password per proteggere i nostri dati. Quali sono le caratteristiche necessarie per creare una password sicura che ci protegga al meglio?
Molti si chiedono: Have I Been Pwned?
La prima raccolta scovata dall’informatico australiano contiene in totale 772.904.991 indirizzi e-mail e 21.222.975 password. Il tutto visibile a chiunque in chiaro. Hunt sospetta che i dati possano essere stati utilizzati principalmente per Credential Stuffing con l’intento di accedere agli account di altri utenti. I dati della prima raccolta sono stati inseriti su Have I Been Pwned? e gli utenti possono ora scoprire rapidamente se il loro indirizzo e-mail rientra tra quelli in pericolo.
Solo pochi giorni dopo, con la pubblicazione delle Collezioni da 2 a 5, il numero di dati disponibili online aumenta enormemente. Sono stati pubblicati 2,2 miliardi di combinazione e-mail/password. I dati delle ultime collezioni non vengono inserite nel sito di Hunt, ma dall’Identity Leak Checker del Hasso Plattner Institute. Il tuo indirizzo e-mail è nell’elenco? La prima cosa da fare è sicuramente cambiare password! A cosa bisogna fare attenzione per creare una password sicura?
Cambiano gli standard di sicurezza
Navigando nel web non mancano di certo i consigli per creare una password sicura. Per anni, le raccomandazioni dell’Istituto nazionale per gli standard e della tecnologia (NIST) sono state considerate regole d’oro dell’informatica. Tra tutte ricordiamo modificare la password ogni 90 giorni o utilizzare una sequenzia casuale di lettere e simboli. Bill Burr, che all’epoca si è occupato di redigere queste raccomandazioni per conto del NIST, in un’intervista a CBS News, ha dichiarato di non essere più d’accordo con i consigli che aveva dato all’epoca. A sua detta oggi, sarebbe meglio scegliere password più lunghe e di senso compiuto. Intere frasi ad esempio, invece di una combinazione casuale difficile da ricordare. Anche il continuo cambio di password è obsoleto, secondo Burr, a meno che non si sospetti un imminente attacco hacker. C’è comunque da far presente che 16 anni fa i tempi erano diversi, gli attacchi hacker erano molto meno comuni e i paradigmi tecnologici erano altri. Il NIST ha riconosciuto la necessità di aggiornare le sue raccomandazioni e ha rivisto le linee guida nel 2017.
Cosa distingue oggi una password sicura?
C’è dunque da chiedersi se sia possibile creare una password sicura in grado di difenderci da una possibile manomissione. La risposta purtroppo non è positiva. Tuttavia, se ci si attiene a poche semplici regole, si hanno molte meno probabilità di cadere vittima. L’Ufficio federale tedesco per la sicurezza delle informazioni (BSI) ha definito delle regole basilari per la progettazione di password altamente sicure:
- Scegli una password che non sia facile da indovinare. È quindi importante evitare l’uso di nomi, date di nascita, targhe o dati personali simili.
- Per ottenere la massima sicurezza la tua password dovrebbe includere maiuscole, minuscole, caratteri speciali e numeri o almeno due dei quattro tipi di caratteri elencati.
- Se da un lato le password semplici sono facili da decifrare, le varianti troppo complicate sono invece difficili da ricordare. Trova il giusto livello di complessità.
- Le password alfanumeriche richiedono una lunghezza minima di otto caratteri per essere considerare sicure. Le password numeriche devono anch’esse contenere almeno sei caratteri.
La lunghezza della password come fattore di sicurezza
Il mondo della sicurezza informatica è unito nell’affermare che la lunghezza della password è una caratteristica importante. Molti creano una password lunga, ad esempio una frase completa, preferendola a una breve e complicata. Anche il NIST ritiene che una password composta da molti caratteri contribuisca in modo significativo alla sicurezza. Gli standard aggiornati dell’Istituto statunitense suggeriscono un minimo di 64 caratteri per offrire agli utenti una flessibilità sufficiente alla progettazione delle password. Già a partire da dodici o otto caratteri una password può essere considerata sicura.
Password sul posto di lavoro
Sono molte le persone che sul posto di lavoro, annotano le proprie password su un foglietto di carta lasciandole in bella vista penzolanti sullo schermo del PC, ad esempio. Se da un lato è comprensibile che la quantità di password per i diversi siti o servizi richiederebbe una memoria da leoni, dall’altro la negligenza, spesso non consapevole, può mettere a repentaglio non solo la propria sicurezza, ma anche quella dell’intera azienda.
Per risolvere questo problema si può utilizzare un programma di password manager, in cui tutti i dati di accesso dell’azienda o di un singolo dipendente possono essere gestiti in tutta semplicità. L’utente deve solo ricordare la password principale, che naturalmente dovrà essere scelta con cura speciale, per accedere al password manager.
Maggiore protezione grazie all’autenticazione a due fattori
Nessuna password al mondo può fornire una protezione al 100%. Questa è purtroppo la realtà. Chi oltre alla password, vuole un ulteriore livello di protezione può considerare l’autenticazione a due fattori (2FA). La seconda autenticazione consiste, oltre al consueto nome utente o e-mail con rispettiva password, in un’ulteriore informazione da fornire per l’accesso. Spesso si tratta di un codice inviata allo smartphone dell’utente. Questo è la sicurezza maggiore offerta dalla 2FA. Gli hacker possono entrare in possesso delle credenziali, ma non avendo il dispositivo a cui viene mandato il codice non possono effettuare l’accesso.
La sicurezza sul web è e rimane un argomento importantissimo. La sicurezza delle password entra a pieno in questo tema. In linea di massima, è sufficiente prestare attenzione ad alcune specifiche nella creazione delle password, al fine di ridurre al minimo le probabilità di hackeraggio. Opzioni moderne, come i password manager e l’autentificazione a due fattori contribuiscono ad assicurare alle aziende un livello di sicurezza maggiore.
Leggi anche
WLAN o LAN: qual è la rete più sicura, veloce e affidabile?
La sicurezza informatica necessita di più Millenial!
I 10 errori più comuni nella progettazione di applicazioni mobile