Pier78

Le password più complesse non sono le più sicure

Utilizzare password complesse non necessariamente rende più sicuri i propri account su internet.

La maggior parte degli utenti, nella creazione di un account su internet, utilizza password che soddisfino i requisiti richiesti dal sito dove stanno operando ma la complessità nella creazione di una password non necessariamente la rende più sicura e gli stessi siti non aiutano ad aumentare la sicurezza.

Sono ancora molto diffusi – per non dire quasi la totalità – i siti che utilizzano regole deboli od obsolete per la digitazione di una password con richieste del tipo:

  • La password deve contenere più di 8 caratteri;
  • Deve contenere una lettera maiuscola, una lettera minuscola ed un numero;
  • Deve contenere un carattare speciale come @, !, _ e via dicendo.

I requisiti di complessità non rendono più sicure le password

Gli utenti, trovandosi di fronte a queste richieste, credono di essere al sicuro rispetto all’utilizzo di una password come “123456” o “dadada” ma per i cracker questi presunti insormontabili ostacoli non sono altro che piccole noie sulla strada della violazione.

Attualmente con una modesta somma di denaro, un cracker sarebbe in grado di violare un account con una password da 8 caratteri con crittografia NTLM (che utilizza Windows) in una media di 3,7 giorni, indipendentemente dal numero di lettere maiuscole, minuscole, numeri e caratteri speciali. Se invece un sito utilizzasse una crittografia MD5 servirebbero 8 giorni altrimenti con la crittografia SHA1 (come quella utilizzata da LinkedIn) potrebbero servire fino a 24 giorni. Se poi il cracker riuscisse ad accedere al server che gestisce le password di un sito, dopo la prima volta i tempi si ridurrebbero notevolemente. Niente di impossibile quindi.

Purtroppo gli utenti, forse inconsciamente, quando devono scegliere una password aderiscono a schemi comuni che riconducono ad animali domestici, persone care o famose o date che ricordano facilmente come ad esempio:

A prima vista queste password d’esempio sembrano essere sicure perché soddisfano i requisiti richiesti ma comprendono un interesse o un nome che può essere ricordato facilmente oltre al numero e al carattere speciale. Però lo schema è quello comune, lettera maiuscola (da qualche parte), lettere minuscole, numero e carattere speciale. Questo modello semplifica terribilmente il tempo che un cracker possa impiegare per scovare la password.

Le password lunghe non migliorano le cose Se invece di 8 caratteri ne venissero richiesti 12, la parola avrebbe una lunghezza maggiore ma non si discosterebbe dal modello base.

La colpa non è tutta dell’utente ma principalmente dei siti internet che non spiegano in modo chiaro come debbano essere create ed inserite le password. Però gli utenti hanno una buona dose di responsabilità perché una parola facile da ricordare per loro è facile da trovare per un cracker. L’unica password che, per ora, può essere considerata sicura è quella che non si riesce a ricordare.

Come difendersi?

Sembra quasi assurdo ma i metodi da utilizzare per difendersi sono i più semplici e non necessitano competenze informatiche.

1. Smettere di utilizzare la stessa password per ogni sito. Questo aspetto va ricordato sempre ma non è mai abbastanza. Un utente potrà avere anche studiato una parola d’accesso di 100 caratteri ma se la utilizzasse su ogni sito in cui crea un account, perderebbe tutta la sua efficacia. Le password devono essere univoche per ogni sito.

2. Utilizzare password che non si riesce a ricordare. Le migliori sono quelle che non si ricordano perché troppo complesse. Nessun timore, esistono applicazioni per la gestione delle password che sono perfette per questo scopo e lavorano al posto della memoria degli utenti. In più quasi tutte queste applicazioni permettono di generare parole casuali con simboli, numeri e lettere e le memorizzano così che nessuno debba scervellarsi per ricordarle. E’ vero che bisogna fidarsi dell’applicazione però è anche vero che la gestione delle password è comunque più sicura. Per cui bisogna scegliere con attenzione il programma a cui affidarsi. Tra queste consiglio 1Password, LastPass o SmartLock.

Password che non si possono ricordare facilmente (o per niente) sono ad esempio: ),SpL5>c};e-5Mq!*7PTu.DYBUr5w{5V

3. Utilizzare frasi d’accesso (passphrase). Nell’eventualità di dover creare una password da ricordare è meglio utilizzare una frase piuttosto che una parola. Una frase che abbia un senso che l’utente possa ricordare perché legata ad un evento o utilizzare parole casuali che possano trovare una correlazione solo nella testa di chi ha pensato la frase.

Per esempio: Anniversario_matrimonio_[23][email protected]![email protected]_cocco!

4. Attivare l’autenticazione a due fattori. L’autenticazione a due fattori richiede un secondo fattore per l’accesso ad un area riservata e questo secondo fattore potrebbe essere un messaggio di testo inviato sul proprio cellulare o una mail oppure l’utilizzo di un dispositivo che genera un codice temporaneo, per intenderci come quello fornito dalle banche per l’accesso al proprio conto. Se avete un account su un sito che propone l’autenticazione a due fattori, attivatela. E’ il miglior modo per mettere al sicuro il vostro account anche se non tutti i siti lo forniscono oppure quello che lo propongono lo considerano opzionale.

Le aziende non sempre puntano alla sicurezza degli account dei propri utenti, sottovalutandone l’importanza. Un modo gentile per far loro notare questo aspetto, oltre ad abbandonare il sito (cosa di cui non si accorgeranno, a meno che non abbiano pochi iscritti), è scrivere per indicare il disappunto per la mancanza dell’autenticazione a due fattori. Magari sapranno dare indicazioni su come attivarla ma se la sicurezza che offrono è limitata, non meritano che i dati sensibili degli utenti possano essere a rischio.

Via

Pier

Mi chiamo Pierpaolo ma per tutti, da sempre, sono Pier. L'anagrafe dice che io sia nato - come suggerisce il sito - nel 1978 ma spesso ho dei dubbi. Da sempre sono appassionato di tecnologia. Nel 2005 mi sono innamorato di Apple e da allora non ho mai smesso di seguirla.
Sono editor su iSpazio, il primo blog italiano del mondo Apple per cui pubblico notizie e redazionali.
Sono papà di Leonardo, il mio amore più grande.
Le mie altre passioni sono la lettura e la scrittura. Mi piace la musica e il calcio. Tifoso della Juventus, sono stato arbitro di calcio, cosa che mi ha permesso di mettere un po' da parte il tifo e vedere lo sport da un'altra angolazione.

Seguimi su Instagram

Your Header Sidebar area is currently empty. Hurry up and add some widgets.