Come creare password sicure

La maggior parte degli utenti utilizza password facili da indovinare. Come si fa a creare una password sicura? Quali sono le regole da tenere in considerazione per creare una password a prova di hacker?

Si stima che l’80% delle violazioni dovute al cybercrimine è causato da credenziali di accesso rubate e riutilizzate (fonte Verizon). La maggior parte degli utenti, infatti, usa password “deboli” e facili da indovinare… e i criminali informatici fanno festa.

Una password sicura è la principale barriera che impedisce ai nostri account online di cadere nelle mani degli hacker. Ma come si crea una password sicura? Quali accorgimenti dobbiamo adottare?

Come fanno i cybercriminali a rubare le password?
Linee guida per una password sicura
Come creare una password sicura: Fattori di conoscenza/identità
Come creare una password sicura: Fattori di semplicità
Come creare una password sicura: Regole di struttura.
Con quale frequenza si devono cambiare le password?
Unicità di utilizzo della password
Come aumentare la sicurezza di una password? L’autenticazione a due fattori (2FA)

Come fanno i cybercriminali a rubare le password?

Ecco alcuni dei metodi utilizzati dagli hacker per rubare le password e infilarsi nei nostri account:

• Uso di password comuni: I criminali informatici riescono facilmente a trovare il modo di introdursi negli account provando alcune delle password più comuni, come 123456 o password impostate di default da applicativi o sistemi alla prima installazione.

• Attacchi Brute Force: Come abbiamo visto nell’articolo “Sicurezza siti in WordPress: 7 possibili attacchi e come difendersi” un attacco Brute Force sfrutta un programma automatizzato che tenta di scoprire la password di accesso utilizzata testando migliaia di combinazioni al secondo.

• Riciclo di credenziali: Una volta che gli hacker hanno scoperto il nome utente e la password di un account, proveranno queste credenziali in tutti gli altri account dello stesso utente. Se abbiamo “riciclato le credenziali” usando lo stesso nome utente e la stessa password per vari siti o servizi, i cybercriminali avranno accesso a tutti i nostri account.

• Uso di informazioni personali pubblicamente condivise: Gli utenti spesso inseriscono nelle loro password nomi, date di compleanno o altre informazioni personali facilmente reperibili dai vari profili Social.

• Phishing: Come abbiamo visto nell’articolo “Phishing. Cos’è e come difendersi” nel caso del phishing sono gli stessi utenti a consegnare le proprie credenziali agli hacker credendo di rispondere ad una comunicazione di una società conosciuta e autorevole che è stata invece falsificata da truffatori nella speranza che qualcuno “abbocchi”.

• Violazioni di dati passate: Gli hacker potrebbero tentare un accesso ai sistemi usando i dati sensibili sono stati resi noti da violazioni passate. Questa tecnica può essere particolarmente pericolosa nel caso in cui non si cambino mai le credenziali di accesso o si riutilizzino vecchie password.

Linee guida per una password sicura

Come va composta una password sicura? Quali sono le regole di cui è bene tener conto per riuscire a creare una password a prova di hacker?

Le password più sicure sono quelle più complesse e difficili da indovinare. La complessità di una password è dovuta ad un serie di fattori che possiamo riassumere in 3 categorie:

• Fattori di conoscenza/identità
• Fattori di semplicità
• Regole di struttura.

Come creare una password sicura: Fattori di conoscenza/identità

I fattori di conoscenza/identità sono elementi legati all’identità dell’utente o informazioni personali potenzialmente facilmente reperibili online sui vari profili social come:

• Nome e cognome
• Data e luogo di nascita
• Indirizzo e luogo di residenza
• Numero telefonico
• Nome dei parenti, amici e animali domestici.

Questi elementi che vanno assolutamente evitati all’interno delle password, perché essendo relativamente facili da ottenere, ne renderebbero molto semplice la decodifica.

Come creare una password sicura: Fattori di semplicità

I fattori di semplicità sono dati dall’utilizzo di password note per essere impostate di default da applicativi o sistemi alla prima installazione, password costruite secondo regole o algoritmi comuni, password facili da memorizzare e password che danno l’impressione di essere difficili da individuare ma in realtà vengono utilizzati comunemente dagli hacker.

Su quest’ultimo punto la maggior parte delle persone utilizza quasi sempre lo stesso metodo di sostituzione numerica delle lettere, ad esempio, 3 al posto della E, 1 al posto della I, @ al posto di A e così via. Queste strategie comuni sono molto prevedibili e rendono estremamente facili da indovinare password come P@55W0rd.123 o S3cur1Ty!

Ecco alcuni esempi di password facili da individuare:

• Credenziali di default come “admin” o “password”
• Password composte da sequenze di caratteri ordinati come sulla tastiera (come “qwerty” o “12345”)
• Password composte soltanto da parole
• Password costituite soltanto da date o sequenze numeriche
• Password costituite da parole ripetute o concatenate a numeri
• Password costituite da parole in vocabolari esteri eventualmente concatenate a numeri
• Parole scritte al contrario anche in vocabolari esteri.

Come creare una password sicura: Regole di struttura.

Le regole di struttura rappresentano delle modalità per garantire password complesse sia relativamente ad alcuni dei fattori di conoscenza/identità o semplicità che abbiamo appena visto, sia in sia in termini di ulteriori elementi di complessità e unicità nella struttura della password.

• Lunghezza: una buona password deve essere costituita da almeno 8 caratteri (8 caratteri costituiscono un requisito di robustezza minimo ma è consigliabile utilizzare almeno 12).
• Contenere una combinazione delle seguenti categorie di caratteri:
  • lettere maiuscole
  • lettere minuscole
  • cifre da 0 a 9
  • caratteri non alfanumerici (caratteri speciali): ~!@#$%^&*_-+=’|\() {} []:;”‘ <>,.? /
• Non contenere lo username (neanche digitato al contrario).
• Non contenere dati anagrafici dell’utente.
• Non contenere caratteri ripetuti per più di due volte.
• Essere diversa almeno dalle ultime 5 password utilizzate, ma è consigliabile sceglierla differente dalle ultime 10.

Con quale frequenza si devono cambiare le password?

Nulla che sia robusto e complesso lo rimane per sempre.Questo è il motivo per cui un altro criterio da tener presente per la sicurezza di una password nel tempo è lasua frequenza di modifica.

Una recente indagine di Google ha evidenziato che il 75% degli intervistati si sente frustrato quando cerca di gestire e aggiornare le proprie password. Anche se può essere fastidioso, è davvero necessario modificare le nostre password con cadenza regolare.

Su questo tema la bibliografia di sicurezza, una volta orientata nel consigliare il cambio password frequente per “limitare” il tempo disponibile per gli hacker per tentare di indovinare la password, ha negli ultimi anni identificato il processo di cambiamento della password come momento di potenziale vulnerabilità in cui si potrebbe essere soggetti a tentativi di attacco. In tal senso ha indicato come criterio di sicurezza anche quello di utilizzare password particolarmente complesse cambiandole meno frequentemente.

Una buona pratica consiste nel cambiare la password con una frequenza minima basata sul suo livello di complessità. Per una password che rispetti i criteri di robustezza e complessità che abbiamo visto nei paragrafi precedenti si raccomanda una frequenza massima di cambio di 90 giorni facendo attenzione a non abbassare il livello di complessità della nuova password rispetto alla precedente.

Unicità di utilizzo della password

L’unicità di utilizzo della password è un altro fattore importantissimo per il livello di esposizione dell’account a potenziali attacchi.

Una recente indagine di Google ha sottolineato che il 66% degli utenti di Internet utilizza la stessa password per più account online.

Utilizzare la stessa password, anche se complessa, su più account per servizi o piattaforme distinte aumenta esponenzialmente la possibilità che un hacker possa scoprire la password su una di tali piattaforme e utilizzarla anche per tentare l’accesso alle altre.

Ovviamente, in caso di compromissione, saremmo anche costretti a cambiare tale password ovunque sia stata utilizzata.

Impiegando invece una password diversa per ogni account, se qualcuno dovesse riuscire a trovare la password di uno dei servizi non potrà in nessun modo accedere agli altri account usati.

Come aumentare la sicurezza di una password? L’autenticazione a due fattori (2FA)

Per aggiungere un ulteriore livello di sicurezza al processo di autenticazione e alla nostra password è possibile utilizzare la cosiddetta autenticazione a due fattori.

Cos’è l’autenticazione a due fattori?

L’autenticazione a due fattori 2FA (Two-factor authentication) è un metodo di autenticazione sicura che consiste nell’utilizzo di due metodi di autenticazione invece che uno.

L’autenticazione e a due fattori di solito usa questi elementi:

1. Qualcosa che l’utente “sa”: la username e la password impostate sull’account.
2. Qualcosa che l’utente “ha” o “è”: un secondo parametro aggiuntivo come, ad esempio, un PIN temporaneo generato da un dispositivo che l’utente ha (come il suo smartphone) o qualcosa che identifica l’utente in maniera inequivocabile (come l’impronta digitale).

L’autenticazione a due fattori, quindi, protegge efficacemente gli account perché aggiunge un livello di sicurezza in più, rendendo più difficile l’accesso agli hacker.

Leggi anche “Sicurezza online: proteggi i tuoi account con l’autenticazione a due fattori“

In pratica impostando l’autenticazione e a due fattori dopo aver inserito username e password c’è un controllo di sicurezza aggiuntivo rappresentato da un codice temporaneo generato da un token o da dati biometrici (es: impronta digitale, riconoscimento facciale).

Ogni servizio online, dai più noti social network a Google, consentono di attivare sul proprio account l’autentificazione a due fattori seguendo delle semplici procedure online.

Se non hai ancora impostato la 2FA (Two-factor authentication) nei tuoi account, ti consigliamo di farlo il prima possibile per aumentare la sicurezza della tua password.