Buone abitudini per proteggere le proprie password

In questo periodo di feste mi sento spesso fare domande “da utente finale”, ossia richieste provenienti da amici e parenti alle prese con un nuovo computer, con la scelta di una connettività Internet più potente, con l’ennesimo chiarimento tra le differenze ti Office 365 e il vecchio Office (Word, Excel, PowerPoint, …).

Si tratta insomma di un periodo non lavorativo, dove tuttavia mi capita di dare una mano a tutti coloro che mi individuano come “quello esperto di computer” 😊

Approfittando di questo periodo, e rivolgendomi soprattutto ai cosiddetti utenti finali, provo a condividere un paio di pensieri sulla gestione delle proprie password. Alcune delle considerazioni che leggerete su questo articolo non saranno senz’altro originali per gli addetti ai lavori, mi auguro tuttavia che possano offrire spunto di riflessione a tutti coloro che, ancora oggi alla soglia del 2021, utilizzano password semplici e facilmente violabili.

Evito subito le considerazioni più banali, come quelle di evitare nomi propri, date di nascita o altre banalità come quella di utilizzare la parola “password” come propria password… e provo a descrivere alcune considerazioni generali da tenere presente al momento della scelta di una propria password.

Secondo il sito https://nordpass.com/most-common-passwords-list/, queste sono le 10 più diffuse password tra gli utenti (ed il tempo necessario per “indovinarle”):

Evitare di utilizzare sempre la stessa password

Non tutti i gestori di servizi online offrono un elevato livello di protezione per le nostre password. Alcuni di essi dovrebbero assicurare una maggiore protezione a fronte mi un servizio di qualità, spesso costoso, legato ad abbonamenti o alla reputazione del servizio offerto.

Evitiamo quindi di utilizzare la medesima password su servizi diversi (la posta elettronica, Facebook, l’home banking, l’account di rete aziendale, …). Violando i sistemi più vulnerabili, i malintenzionati potrebbero accedere facilmente ai sistemi più riservati, in barba ad una maggiore protezione degli stessi.

Certo qualcuno di voi penserà: “eh ma utilizzare password diverse è complicato da ricordare”… e quindi condivido un primo suggerimento.

Se proprio non possiamo fare a meno utilizzare sempre la stessa password, possiamo almeno cercare di differenziarle sulla base del servizio collegato, attraverso qualche piccolo esercizio mnemonico:

  • Password di base: “lamiapassword
  • Password per Facebook: “lamiapasswordFB
  • Password per accedere alla rete aziendale: “lamiapasswordRete
  • Password per accedere al servizio home banking: “lamiapasswordBanca

Le password sono “case sensitive”

Dobbiamo sempre ricordare che in sistemi di gestione dell’autenticazione (i meccanismi che riconoscono la password e ci permettono di accedere ai servizi online), sono praticamente sempre “case sensitive”, ossia sensibili al riconoscimento dei caratteri minuscoli e maiuscoli. E quindi all’interno di una password scrivere “LaMiaPassword” è diverso, e solitamente più sicuro, rispetto ad una semplice forma “lamiapassword”.

Va infatti ricordato che i sistemi più diffusi utilizzati per scoprire le nostre password sono i cosiddetti sistemi “brute force attack”, che partono da dei dizionari di parole comuni e, sfruttando la potenza di calcolo dei computer, tentano ripetutamente le diverse parole come possibili password (qui mi perdoneranno i lettori più esperti per qualche mia approssimazione).

Scegliere delle frasi e non delle parole chiave

Scegliere quindi una password composta da una singola parola è indubbiamente più vulnerabile che scegliere una password composta da una frase contenenti più parole.

Descrivendo un esempio banale, meglio scegliere “lamiapassword” che semplicemente “password”, e meglio ancora se variare la combinazione minuscole/maiuscole, con qualcosa del tipo “LaMiaPassword”. Ancora meglio se comporremo una frase più estesa: “LaMiaPasswordComplessa”.

Anche la stessa lunghezza (numero di caratteri) contenuti all’interno della password concorre nel rendere complesso il lavoro ai sistemi di brute force attack.

Ricordarsi di utilizzare anche numeri e simboli

Oggigiorno molti dei sistemi di protezione dei servizi online forzano l’utente nella scelta di password “complesse”, richiedendo la scelta di combinazioni di lettere, numeri e simboli all’interno delle proprie password.

Questa è un’ottima abitudine, spesso però odiata dagli utenti che si sentono costretti a scegliere delle password difficili da ricordare.

Aumentare la complessità delle password

Il consiglio è quindi quello di cercare di offrire una certa assonanza alla propria password, sfruttando la caratteristica di alcuni numeri che “assomigliano” a certe lettere vocali.

Ad esempio, la lettera “E” può essere sostituita con il numero “3”, la lettera “I” con il numero “1”, la lettera “O” con il numero “0”, e così via. Analogamente, anche alcuni simboli possono concorrere: la lettera “E” con il simbolo “&”, o la lettera “A” con il simbolo “@”, la lettera “I” con il simbolo “!”, e via di seguito.

La password di esempio “LaMiaPassword” potrà quindi trasformarsi in “L4M14P@ssw0rd”, rendendola notevolmente più sicura.

A volte è sufficiente utilizzare anche un semplice simbolo, facile da ricordare, per aumentare notevolmente la complessità della password: “LaMiaPassword” potrebbe diventare “LaMiaPassword!”, dove la semplice aggiunta del simbolo del punto esclamativo renderebbe più arduo il compito ai sistemi di brute force attack.

Cambiare la propria password con frequenza

anche in questo caso molti dei sistemi di protezione forzano gli utenti ad un periodico cambio delle password, introducendo un altro aspetto particolarmente odiato finali.

Spesso, quindi, gli utenti si ingegnano nel trovare delle soluzioni per variare la propria password con poco sforzo mnemonico.

Ad esempio, in molti risolvono aggiungendo un numero progressivo in fondo la propria password; “LaMiaPassword1”, “LaMiaPassword2”, “LaMiaPassword3”, …

Il suggerimento è quello di provare ad individuare una tecnica semplice da ricordare per cambiare la propria password nel tempo, senza tuttavia perdere la struttura mnemonica che ci permette di utilizzarla con comodità.

Usare anche il dialetto

Come descritto poco fa, i principali sistemi per indovinare le nostre password sono basati sull’utilizzo di dizionari, spesso contenenti tutte le parole in più lingue (inglese , italiano, francese, …).

Ad esempio, sarà più facile indovinare “MyPassword” (in inglese) che “LaMiaPassword” (in italiano), proprio per via della maggiore diffusione della lingua inglese tra gli utenti (e tra o sistemi per forzare le password).

Difficilmente però questi strumenti di brute force attack conoscono i dialetti regionali 😊.

Un suggerimento rivolto a tutti coloro che conosco nel proprio dialetto regionale, potrebbe essere quello di scegliere la propria password nel proprio dialetto, o anche semplicemente combinando parole italiane e parole dialettali.

Questa tecnica sarà tuttavia poco efficace per i sistemi di brute force attack più sofisticati, ossia quelli che ricercano le combinazioni di lettere indipendentemente dall’utilizzo dei dizionari di parole.
Parliamo tuttavia di sistemi che richiedono un’enorme capacità di calcolo (o tempi di elaborazione enormemente lunghi) per identificare le nostre password.
Pertanto, questi sistemi saranno utilizzati proporzionalmente al valore delle informazioni che stiamo proteggendo: un malintenzionato sarà disposto a spendere più soldi (risorse di calcolo e super computer) per rubarci l’identità sul nostro sistema di home banking, piuttosto che per accedere al nostro profilo Facebook (sempre che noi non siamo un personaggio pubblico).

Le password a più fattori

Molti dei servizi online (a partire dai servizi home banking) aumentano la complessità delle password aggiungendo un secondo fattore di autentica (a volte anche più di uno, nei sistemi MFA – Multi Factor Authentication).

Alla nostra password verrà associato il riconoscimento del nostro telefono, o della nostra e-mail, e quando cercheremo di autenticarci (con la password) il sistema ci invierà un PIN sul telefono o sull’e-mail, che sarà una “one time password” che cambierà ad ogni accesso successivo.

Alcuni sistemi richiedono l’installazione di specifiche App Authenticator (è un’opzione offerta anche dal MFA di Microsoft 365), facilitando il secondo fattore attraverso il controllo biometrico (l’impronta digitale o il Face ID per il riconoscimento del volto).

Come concludere questo articolo?

Aggiungendo ai suggerimenti descritti anche la possibilità di utilizzare dei tool Password Manager che, a fronte di una “master password”, memorizzano le credenziali dei diversi servizi online, offrendoci la possibilità di ricordare una sola password (magari complessa), gestendo poi di password (molto complesse) associate ai diversi servizi online, visto che sarà il tool a ricordarle per nostro conto.

Rimando alla lettura di questo articolo di PCMAG per analizzare i migliori strumenti di gestione delle password.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.