Contenuti:
È stato solo negli ultimi anni, quando un gran numero di attività si è spostato online, che le persone hanno iniziato a prestare maggiore attenzione alla sicurezza delle loro password. Da oltre un decennio gli esperti cercano di convincere gli utenti di internet a impegnarsi di più in tal senso, e si sperava che alcune grandi e famose violazioni di dati fossero riuscite a cambiare la mentalità della gente.
Purtroppo, però, la maggior parte delle persone continua a credere che una sequenza di 6-8 caratteri alfanumerici sia sufficientemente sicura per una password, quando in realtà la creazione di una password complessa è una questione molto più complicata. Inoltre, i requisiti che alcuni siti web impongono per la creazione delle password danno un falso senso di sicurezza.
La lunghezza è importante
Sebbene molte persone pensino che la complessità sia il fattore più importante quando si parla di password, in realtà ciò che conta davvero è la loro lunghezza (da qui, appunto, il titolo di questo articolo del blog).
Uno dei metodi più comuni di violazione delle password consiste in una tecnica chiamata di "forza bruta". Il modo migliore per descriverla è pensare a un lucchetto a 3 cifre e immaginare di volerlo sbloccare senza conoscere il codice: probabilmente proveresti ogni possibile combinazione come 001, 002, 003 e così via. Gli attacchi di forza bruta funzionano esattamente allo stesso modo, con la differenza che i criminali informatici possono utilizzare la potenza di calcolo dei computer per svolgere questo lavoro.
Questo è il motivo per cui la complessità non è importante quanto la lunghezza: all'aumentare dei caratteri cresce anche il numero di possibili combinazioni, il che rende più complicati i tentativi di violare le password.
Per una password di lunghezza media, pari a 8 caratteri, esistono circa 221.000 miliardi di combinazioni possibili. A prima vista potrebbero sembrare tantissime, ma non bisogna dimenticare che esistono dei computer in grado di "indovinare" qualcosa come 10 miliardi di combinazioni al secondo grazie ad alcune sofisticate botnet. Quindi, in realtà, per violare una password media bastano poche ore di un attacco di forza bruta.
A questo punto, arriviamo alla domanda clou: quanto dovrebbe essere lunga una password? L'ideale sarebbe sceglierne una che contenga almeno 12 caratteri: ciò corrisponde a poco più di tre triliardi di combinazioni possibili (ovvero un tre seguito da 21 zeri).
Per violare una password di 12 caratteri potrebbero facilmente volerci diverse centinaia di anni con le tecnologie odierne, anche se queste stanno migliorando a un ritmo vertiginoso e il tempo necessario per decifrare password di tale lunghezza diminuisce giorno dopo giorno.
Se vuoi metterti avanti anche per il futuro è bene scegliere una password di 16 caratteri, o se possibile anche più lunga per una maggiore sicurezza. Con 16 caratteri, in pratica, potrebbero volerci migliaia o addirittura centinaia di migliaia di anni per riuscire a violare una password.
Frasi di accesso (passphrase)
Naturalmente bisogna anche essere onesti: la maggior parte delle persone non è in grado di memorizzare password casuali di 16 caratteri, soprattutto se sono diverse per ogni sito che utilizzano, ma per fortuna esiste un'alternativa.
Probabilmente avrai già sentito parlare delle passphrase, o frasi di accesso: si tratta in sostanza di un insieme di parole scelte in modo semi-casuale che sono più facili da ricordare, come ad esempio "I funghi gialli raccolgono polvere" o "Il matto è meglio vada a pranzo" o qualsiasi altra combinazione. Si tratta in entrambi i casi di buone password, la prima lunga 34 caratteri e la seconda 31.
Utilizzare le passphrase è generalmente meno complicato e semplifica perciò la vita. Naturalmente, a questo punto la domanda è: "Quanto dovrebbe essere lunga una frase di accesso?" e sarai felice di sapere che, di solito, si consiglia un minimo di quattro parole. Se puoi usarne di più, tanto meglio, e in generale cerca di scegliere delle combinazioni che per te sono facili da ricordare.
Fermo restando quanto precede, c'è un problema con le passphrase: la maggior parte dei siti non ammette password di tale lunghezza. Per fortuna diversi siti stanno iniziando ad adottare vincoli meno rigorosi, pertanto si spera che le password particolarmente lunghe diventino più comuni nel giro di 5 anni o giù di lì.
Insolito? Sì, grazie
Insieme alla lunghezza delle password, un altro fattore che spesso viene citato è la loro complessità, a cui si aggiunge naturalmente l'uso di simboli e altri caratteri "strani".
Abbiamo detto poc'anzi che la lunghezza è un fattore decisivo, ma ciò non significa che la complessità non sia importante. A tal proposito, esistono alcuni errori comuni che aumentano i rischi di violazione delle password:
Usare lo stesso carattere due volte e/o in lunghe sequenze. Può essere un problema perché, essendo una pratica comune, i programmi che eseguono attacchi di forza bruta sono stati progettati tenendo conto di questa cattiva abitudine: assolutamente da evitare sono combinazioni come "!!!!!!" o "1223334444".
Usare schemi prevedibili, come ad esempio alternare un carattere all'altro, dal momento che i programmi usati dagli hacker tengono conto anche di questa consuetudine.
Sostituire le lettere con simboli, ad esempio "3" al posto di "e", "1" al posto di "l", e via dicendo. Anche questa è una pratica piuttosto comune che i programmi degli hacker tengono in considerazione.
Non proteggere gli account sui social media come faremmo coi nostri conti in banca. La questione è molto seria: ai criminali informatici basta ricavare un po' di informazioni dai tuoi social per avere a disposizione tutto l'occorrente per rovinarti con un attacco di ingegneria sociale.
Verifica inoltre di non utilizzare una o più delle password più diffuse.
In generale, la strategia giusta da seguire è quella di non rendere prevedibile una sequenza di caratteri: per questo motivo, la maggior parte delle credenziali create coi generatori di password è completamente casuale, senza senso e priva di schemi ricorrenti. Si tratta senz'altro delle password più sicure che si possano usare, ma il rovescio della medaglia è il fatto che sono pressoché impossibili da memorizzare.
Non utilizzare le stesse password per tutto
Ora arriviamo al vero nodo della questione: non importa quanto sia complessa o lunga una password, perché se la imposti per diversi account, tanto varrebbe non usarla affatto! (D'accordo, può sembrare un'esagerazione, ma quel che conta è il senso generale del discorso).
Cosa fare, quindi? A questo punto, la soluzione più comoda e ovvia è scegliere un eccellente gestore di password. Non solo ti consente di memorizzare password lunghe, ma anche di crearne una diversa per ogni sito, con l'ulteriore vantaggio di non doverle tenere a mente. Ti basterà creare una password principale ad alta sicurezza per accedere al tuo gestore di credenziali e avrai così due livelli di protezione, il che è un ottimo vantaggio. Se hai bisogno di un piccolo aiuto nella scelta del gestore di password che fa al caso tuo, ecco una recensione dei migliori gestori di password attualmente a disposizione.
Niente panico!
La cosa più importante da ricordare a questo punto è di non spaventarti, né farti prendere da un attacco d'ansia. In genere, i siti web e servizi online non consentono l'accesso agli account tramite la forza bruta e l'unico modo in cui qualcuno potrebbe tentare questo tipo di attacco è in caso di massicce violazioni di dati, eventi peraltro piuttosto rari.
Inoltre, anche in caso di violazioni di dati, occorrerebbe molto tempo per decifrare le tue password; nel frattempo, la violazione sarà già diventata di dominio pubblico e avresti tutto il tempo di cambiare la password.
A prescindere da tutto, scegliere le password in modo oculato è importante e necessario, ma non è il caso di farti prendere dal panico perché ne usi una lunga 11 caratteri anziché 12.