UNA PASSWORD SCELTA CON LEGGEREZZA PUÒ COMPROMETTERE SERIAMENTE LA NOSTRA PRIVACY, IL NOSTRO POSTO DI LAVORO, IL CONTO IN BANCA O LA NOSTRA VITA PRIVATA
In questi ultimi anni sempre più notizie riferiscono di cyber attacchi subiti da aziende e cittadini. Nel 2014 circa 500 milioni di persone hanno subito un furto di dati personali online e sono stati diversi i casi in cui i dati di aziende e professionisti sono stati criptati, con la successiva richiesta di un pagamento per la loro decriptazione.
Sul fronte della Cybersecurity esistono strumenti e tecnologie pensate per contrastare furti di identità e cyber attacchi, ma perché questi funzionino è anche necessario metter in atto comportamenti e pratiche opportune. Qualche semplice accorgimento in più fa spesso la differenza.
DUE ESEMPI DI ATTACCO ALLE PASSWORD
La forma più comune di autenticazione è quella che prevede l’inserimento di un nome utente e una password note al solo proprietario dei dati o della risorsa da proteggere. Tuttavia, con l’aiuto di un semplice software, un aggressore potrebbe violare facilmente il meccanismo di autenticazione. Vediamo due tra i metodi di attacco più semplici per arrivare allo scopo.
ATTACCO A DIZIONARIO
L’Attacco “a dizionario” prevede l’utilizzo di un vasto dizionario di termini da utilizzare uno dopo l’altro per tentare di accedere al profilo da violare. La sua riuscita dipende in buona parte dal numero e dalla qualità dei vocaboli presenti nel dizionario. Un buon dizionario, oltre a parole del linguaggio corrente, contiene termini tecnici, riferimenti alla cultura di massa (titoli di film, libri, serie tv, personaggi noti), ecc.
ATTACCO FORZA BRUTA
L’Attacco “forza bruta” si effettua invece provando tutte le combinazioni possibili di un determinato insieme di caratteri. Un attacco del genere è più efficace del primo, ma richiede generalmente molto più tempo per elaborare tutte le combinazioni possibili dei caratteri.
Ora, questi attacchi possono essere più o meno efficaci. L’elemento discriminante è la forza della password scelta dall’utente vittima dell’attacco. Una password semplice da ricordare sarà una password altrettanto semplice da individuare.
COME NON SCEGLIERE LE PROPRIE PASSWORD
Dunque la scelta di buone password è un elemento fondamentale per la sicurezza dei nostri account sul web. Tuttavia, uno studio condotto da Google e Opinion Matters ha rilevato che su un campione di 2000 italiani le password più utilizzate nel 2013 erano ancora nell’ordine:
- date significative (per esempio l’anniversario di matrimonio)
- il nome di un animale domestico
- la data di nascita di un parente stretto
- la parola ‘Password’
- il nome di un altro membro della famiglia
- il nome di un figlio
- il proprio luogo di nascita
- il nome del partner
- il luogo di vacanza preferito
- qualcosa legato alla squadra del cuore
Tutte password facilmente individuabili con gli attacchi che abbiamo descritto sopra o con tecniche di ingegneria sociale (su cui torneremo in futuro). Se vi riconoscete in questo elenco vi raccomandiamo quindi di proseguire nella lettura.
CRITERI DA SEGUIRE PER CREARE UNA BUONA PASSWORD
Una password scelta con leggerezza può compromettere seriamente la nostra privacy, il nostro posto di lavoro o il conto in banca. Vediamo quindi alcuni criteri da seguire nella creazione di una nuova password per ridurre questi rischi.
- Evitiamo di scegliere la stessa password per ogni nostro account (conto in banca online, e-mail, social network, ecc.): a un criminale basterebbe infatti violare uno solo dei nostri account perché siano compromessi anche tutti gli altri.
- Cerchiamo di evitare di creare password troppo corte: le password formate da più caratteri resistono meglio agli attacchi che abbiamo descritto qui sopra.
- Per gli stessi motivi cerchiamo di inserire in una stessa password: numeri, simboli, lettere maiuscole e minuscole.
- Evitiamo di creare password basate, anche solo in parte, su informazioni di dominio pubblico: quelle indicate nella lista qui sopra, ad esempio.
- Non utilizziamo variazioni del nostro nome o nome utente, né altri nomi di alcun genere, o termini tratti dal lessico comune.
- Evitiamo anche sequenze di lettere, numeri o simboli contigui sulla tastiera: “qwerty”, “1234567”, “%&/()=”.
Anche le password migliori possono però essere scoperte da un Cracker che abbia a disposizione abbastanza tempo per fare tutti i tentativi necessari a scoprirla. È quindi bene modificare comunque le nostre password periodicamente. Per gestire facilmente e in sicurezza numerose password può poi essere utile affidarsi a un password manager.
19 ottobre 2016