Hai mai sentito parlare di Troy Hunt? È lui il fondatore australiano del sito Have I Bee Pwned? con la quale dal 2013 gli utenti possono verificare gratuitamente se il loro indirizzo di posta elettronica è stato violato in passato. Nel suo blog Hunt ha annunciato di aver scoperto una raccolta di milioni di indirizzi e-mail e password in un forum “nascosto”. Questo caso ci introduce al tema della sicurezza della password per proteggere i nostri dati. Quali sono le caratteristiche necessarie per creare una password sicura che ci protegga al meglio?
La prima raccolta scovata dall’informatico australiano contiene in totale 772.904.991 indirizzi e-mail e 21.222.975 password. Il tutto visibile a chiunque in chiaro. Hunt sospetta che i dati possano essere stati utilizzati principalmente per Credential Stuffing con l’intento di accedere agli account di altri utenti. I dati della prima raccolta sono stati inseriti su Have I Been Pwned? e gli utenti possono ora scoprire rapidamente se il loro indirizzo e-mail rientra tra quelli in pericolo.
Solo pochi giorni dopo, con la pubblicazione delle Collezioni da 2 a 5, il numero di dati disponibili online aumenta enormemente. Sono stati pubblicati 2,2 miliardi di combinazione e-mail/password. I dati delle ultime collezioni non vengono inserite nel sito di Hunt, ma dall’Identity Leak Checker del Hasso Plattner Institute. Il tuo indirizzo e-mail è nell’elenco? La prima cosa da fare è sicuramente cambiare password! A cosa bisogna fare attenzione per creare una password sicura?
Navigando nel web non mancano di certo i consigli per creare una password sicura. Per anni, le raccomandazioni dell’Istituto nazionale per gli standard e della tecnologia (NIST) sono state considerate regole d’oro dell’informatica. Tra tutte ricordiamo modificare la password ogni 90 giorni o utilizzare una sequenzia casuale di lettere e simboli. Bill Burr, che all’epoca si è occupato di redigere queste raccomandazioni per conto del NIST, in un’intervista a CBS News, ha dichiarato di non essere più d’accordo con i consigli che aveva dato all’epoca. A sua detta oggi, sarebbe meglio scegliere password più lunghe e di senso compiuto. Intere frasi ad esempio, invece di una combinazione casuale difficile da ricordare. Anche il continuo cambio di password è obsoleto, secondo Burr, a meno che non si sospetti un imminente attacco hacker. C’è comunque da far presente che 16 anni fa i tempi erano diversi, gli attacchi hacker erano molto meno comuni e i paradigmi tecnologici erano altri. Il NIST ha riconosciuto la necessità di aggiornare le sue raccomandazioni e ha rivisto le linee guida nel 2017.
C’è dunque da chiedersi se sia possibile creare una password sicura in grado di difenderci da una possibile manomissione. La risposta purtroppo non è positiva. Tuttavia, se ci si attiene a poche semplici regole, si hanno molte meno probabilità di cadere vittima. L’Ufficio federale tedesco per la sicurezza delle informazioni (BSI) ha definito delle regole basilari per la progettazione di password altamente sicure:
Il mondo della sicurezza informatica è unito nell’affermare che la lunghezza della password è una caratteristica importante. Molti creano una password lunga, ad esempio una frase completa, preferendola a una breve e complicata. Anche il NIST ritiene che una password composta da molti caratteri contribuisca in modo significativo alla sicurezza. Gli standard aggiornati dell’Istituto statunitense suggeriscono un minimo di 64 caratteri per offrire agli utenti una flessibilità sufficiente alla progettazione delle password. Già a partire da dodici o otto caratteri una password può essere considerata sicura.
Sono molte le persone che sul posto di lavoro, annotano le proprie password su un foglietto di carta lasciandole in bella vista penzolanti sullo schermo del PC, ad esempio. Se da un lato è comprensibile che la quantità di password per i diversi siti o servizi richiederebbe una memoria da leoni, dall’altro la negligenza, spesso non consapevole, può mettere a repentaglio non solo la propria sicurezza, ma anche quella dell’intera azienda.
Per risolvere questo problema si può utilizzare un programma di password manager, in cui tutti i dati di accesso dell’azienda o di un singolo dipendente possono essere gestiti in tutta semplicità. L’utente deve solo ricordare la password principale, che naturalmente dovrà essere scelta con cura speciale, per accedere al password manager.
Nessuna password al mondo può fornire una protezione al 100%. Questa è purtroppo la realtà. Chi oltre alla password, vuole un ulteriore livello di protezione può considerare l’autenticazione a due fattori (2FA). La seconda autenticazione consiste, oltre al consueto nome utente o e-mail con rispettiva password, in un’ulteriore informazione da fornire per l’accesso. Spesso si tratta di un codice inviata allo smartphone dell’utente. Questo è la sicurezza maggiore offerta dalla 2FA. Gli hacker possono entrare in possesso delle credenziali, ma non avendo il dispositivo a cui viene mandato il codice non possono effettuare l’accesso.
La sicurezza sul web è e rimane un argomento importantissimo. La sicurezza delle password entra a pieno in questo tema. In linea di massima, è sufficiente prestare attenzione ad alcune specifiche nella creazione delle password, al fine di ridurre al minimo le probabilità di hackeraggio. Opzioni moderne, come i password manager e l’autentificazione a due fattori contribuiscono ad assicurare alle aziende un livello di sicurezza maggiore.
Leggi anche
WLAN o LAN: qual è la rete più sicura, veloce e affidabile?
La sicurezza informatica necessita di più Millenial!
I 10 errori più comuni nella progettazione di applicazioni mobile
Il web e le piattaforme social sono diventati un vastissimo contenitore di contenuti. Oltre ai…
Anche nel mondo digitale di oggi non si può prescindere dall’essere presenti offline se si…
Se in passato liste Excel anche poco strutturate, un gran numero di strumenti non integrati…
Di certo, nel 2021 non è più necessario sottolineare l’importanza di avere un sito web.…
Quando si parla di Personal branding parliamo di professionisti che si presentano così come farebbe…
CMS è l’acronimo per Content Management System. Si tratta di programmi utilizzati per creare, modificare…
View Comments