4 regole per impostare una password sicura al 99,9%

1. Creazione password sicure ed efficaci: introduzione

2. Cosa significa generare strong password

3. Password complesse: bisogna usare caratteri speciali

4. Strong password: devono contenere tra i 10-12 caratteri

5. Password efficaci: scegli una frase

6. Ogni quanto cambiare password

7. Password sicure e complesse e problema di memorabilità

8. In breve, come riassumere le regole per la creazione di password

Posta elettronica, social network, e-commerce, account Amazon, servizi cloud, home banking e molti altri: ognuno di questi servizi online viene protetto oggi almeno da password.

Impostare una password sicura serve ad scongiurare il furto di dati.
Ecco il motivo principale che ci dovrebbe spingere a scegliere password complesse e conservarle in un luogo sicuro. La differenza tra una password debole e una password forte è molto semplice: una password forte potrebbe fare la differenza tra il mantenere la tua identità al sicuro ed il consegnare le tue informazioni nelle mani degli hacker.

Certamente la password non è l’unica misura di sicurezza online a cui fare ricorso, ma è sicuramente uno step fondamentale nei processi di protezione degli account.

Riuscire ad impostare una password sicura per l’accesso a tutti i siti web in cui è richiesta può sembrare una vera impresa.
Tuttavia, entrare nel giusto mindset è fondamentale: ad ogni piattaforma o ogni account deve corrispondere una password univoca.

Solitamente, quando ci ritroviamo a navigare su un sito web che richiede di registrare il nostro accesso, all’atto dell’impostazione della password leggiamo sempre:

Assicurati di utilizzare una password complessa

Ma cosa significa creare una password complessa?

Il termine password complessa significa che necessariamente si dovrà scegliere una parola capace di respingere ogni tentativo di accesso indesiderato da parte di terzi. In inglese esiste un termine che indica questo elemento ed è strong password. Esistono delle regole ben precise che delimitano e caratteristiche di una strong password: lunghezza minima, unicità, diversità. Queste regole vengono definite policy.

Ma tornando al tema della scelta delle password,
come si può essere sicuri di creare password efficace e sicura pur mantenendo per essa un certo grado di memorabilità?

Il nostro team SOC specializzato nello sviluppo dei servizi di sicurezza informatica consiglia di seguire alla lettera questi 4 consigli per evitare spiacevoli situazioni e generare parole di sicurezza efficaci.
Vediamoli insieme.

Sebbene le prime password che vengono in mente quando si ha bisogno di impostarne una siano banali e scontate, probabilmente derivanti da nomi e numeri a noi famigliari, non dobbiamo perdere di vista la necessità di rendere sicura la password.
Per questo molti siti web al momento della scelta della password indicano quelle che vengono chiamati i criteri password, senza le quali non viene permessa la prosecuzione alla registrazione:

• essere composta da almeno 8 caratteri;
• contenere almeno un carattere appartenente alle lettere maiuscole (da A a Z);
• contenere almeno un carattere appartenente ai primi 10 numeri di base (da 0 a 9);
• includere almeno un carattere appartenente ai caratteri non alfabetici (ad esempio !,$,#,%)
• essere diversa da quella precedente (non tutti indicano quest’opzione, ma è preferibile farlo).

Tra queste è già presente l’indicazione di utilizzare almeno un carattere speciale o non alfabetico.
Molte persone però scambiano questo consiglio con il semplice “inserisci un punto esclamativo o un punto interrogativo alla fine della password “.

Tuttavia, il metodo più sicuro per utilizzare questi caratteri, impostare una password sicura e facile da ricordare è semplicemente lavorare per similitudini. Ad esempio, una S può essere sostituita dal simbolo $.
La i con un ! e con un po’ di fantasia la n può diventare un #.

Quando un hacker prova a rubare le password di un utente, ricorre a metodi diversi :

1. phishing,
2. keylogging
3. brute force
4. sniffing
5. attacco a dizionario.

Esiste un detto che recita le seguenti parole: conosci il tuo nemico per anticipare le sue mosse.

Il miglior trucco per rendere la vita difficile ad un attaccante è creare una password quanto più lunga possibile.
Provate a pensare a un codice di quattro cifre: usando solo numeri e nient’altro ci sono 10.000 combinazioni possibili.
Aggiungendo una sola cifra in più le possibilità di variazioni ammontano a 100.000. Uno dei requisiti fondamentali è quindi quello di comporre parole lunghe, composta da un minimo di 8 e un massimo di 64 caratteri: la lunghezza ideale ricade generalmente tra i 10-14 caratteri.

Valori possibili per password sicure

Inoltre, usando un mix di diversi tipi di caratteri (numeri, lettere, caratteri speciali) renderai la password ancor più difficile da decifrare. Normalmente, secondo le indicazioni del NIST, tutti i caratteri ASCII (RFC 20) dovrebbero essere accettati.

Infatti, se prendiamo il set completo di caratteri stampabili consentiti e aumentiamo la lunghezza della password, le possibili combinazioni da vagliare per un hacker aumentano in modo esponenziale.
Un esempio?
Scegliendo una password di 10 caratteri (tra lettere dell’alfabeto, numeri e caratteri speciali) le combinazioni possibili sono ben 3.255.243.551.009.881.201.

Una password composta da una frase è molto più semplice da ricordare per l’utente, ma come abbiamo visto poco fa, anche molto più difficile da decifrare rispetto ad una semplice parola. Con frase intendiamo qualsiasi costrutto che coinvolge più di una parola: titoli di libri, frasi di film, modi di dire o mantra.

Secondo questa regola è possibile, quindi, creare ed impostare una password sicura.
Potete sostituire le lettere con i numeri e ad aggiungere caratteri speciali: in questo modo la frase diventa quasi impossibile da decifrare per qualsiasi tecnologia.

Si tratta chiaramente di un modo di dire scherzoso, ma il concetto alla base di questo dettame è corretto:

se non avete strumenti tecnologici che accorrono in vostro aiuto la password che avete scelto deve essere facile da ricordare.
A tal proposito, mettendo insieme le prime tre regole, possiamo stabilire che una password sicura potrebbe essere individuata rispondendo a queste semplici domande:

• Qual è una frase che ti ripeti spesso nella mente o ad alta voce durante le tue giornate?
  (es. Stasera alle 21 assolutamente Netflix e dell’ottimo Vino rosso);
• Come comporresti la password in maniera creativa?
  (es. Usando solo le prime lettere: Sa21aNedoVr)
• Quali caratteri speciali puoi utilizzare per creare variazioni? (es. $a21aN&doVr)

L’ultima è forse la regola d’oro, quella che non dovreste mai dimenticare e che invece troppo spesso viene sottovalutata.

Infatti, è assolutamente necessario cambiare periodicamente la password, così da vanificare il lavoro di ogni malintenzionato che volesse tentare l’accesso ai tuoi account.

Giunti a questo punto la domanda che vi sorgerà spontanea è:

Ogni quanto cambiare una password?

Almeno una volta ogni 60-90 giorni: potrebbe essere un’idea da seguire. Ma se vieni a conoscenza di un data breach che ha colpito un sito o un’app su cui possiedi un profilo, non aspettare e cambiala immediatamente.

Ora una curiosità: sapevi dell’esistenza della Giornata Mondiale delle Password?

Viene fissata ogni anno il primo giovedì del mese di maggio come mezzo per promuovere migliori abitudini di impostazione delle password.
Nel 2022 sarà il 5 maggio.
Si tratta dell’evoluzione del cosiddetto Change Your Password Day, ideato nel 2012 da Matt Buchanan per avere un giorno all’anno nel quale rendere più difficile l’accesso non consentito agli account da parte degli hacker.

Uno dei problemi più diffusi delle strong password è proprio la reperibilità.

Come è possibile ricordare un numero sempre crescente di parole chiave, complesse, lunghe e scritte in caratteri speciali senza l’ausilio di un supporto?
Il miglior modo per raccogliere e gestire le password non è certamente attraverso l’utilizzo di post-it. Tantomeno è utile riutilizzare sempre la stessa parola chiave per quanti più portali possibili.

Piuttosto esistono specifici programmi, chiamati password manager grazie ai quali è possibile gestire le credenziali di accesso a servizi online, siti Web, social network, servizi di home-banking e così via.

La creazione di una password sicura è il primo step che ogni utente deve compiere per salvaguardare i propri dispositivi e le proprie informazioni personali.
I migliori tipi di password:

• Includono un’ampia varietà di numeri e caratteri speciali, oltre che mix di lettere maiuscole e minuscole;
• Non dovrebbero mai fare riferimento a informazioni personali, come nomi, indirizzi o numeri di telefono;
• Possiedono una lunghezza intorno ai 10-12 caratteri per sfruttare a proprio favore le probabilità di hacking;
• Derivano da frasi facili da ricordare per l’utente e possono includere anche solo le iniziali delle parole;
• Dovrebbero essere univoche per ogni sito web, app o dispositivo utilizzato e mai ripetute;
• Andrebbero cambiate periodicamente, ogni tre, sei o nove mesi.

Forse impostare una password sicura al 99,9% non sarà semplice, né farà demordere i malintenzionati del web.
Eppure, sicuramente è un repellente per mantenere la sicurezza informatica di dati, dispositivi e persone. La gestione delle password è una responsabilità che ricade sia su di noi come individui che come appartenenti ad un complesso aziendale da tutelare.