Creare password sicura: oggi ricorre il World Password Day

Ogni anno ai primi di maggio ricorre il World Password Day, importante evento a livello mondiale pensato per sensibilizzare gli utenti sull’importanza della scelta di password efficaci e della loro conservazione sicura.

Diversi studi via via pubblicati dalle principali società attive nel settore della sicurezza informatica sono concordi: ancora oggi una buona fetta di utenti si serve della stessa password a protezione di più account. Si tratta di una pratica sconsiderata perché può esporre dati personali e informazioni sensibili alla mercé dei malintenzionati allorquando uno solo dei propri account venisse in qualche modo violato.

Ulteriori report mettono in evidenza che gli aggressori informatici lanciano ogni giorno una media di 50 milioni di attacchi alle password ovvero circa 580 al secondo. E sono molto efficaci: il 60% delle violazioni sui dati sono attribuite a credenziali compromesse.

Un italiano su tre utilizza ancora oggi sempre la stessa password o varianti di una password principale mentre quasi la metà delle persone modifica la propria password una volta all’anno o non la cambia mai. In un altro articolo abbiamo visto quando è opportuno cambiare password.

Il problema della gestione delle password

Per quanto riguarda la gestione delle password, in molti provano a tenerle a mente, altri le annotano su supporti cartacei mentre una minima parte usa password manager.

Di primo acchito tenere a mente le password può sembrare una buona tecnica ma l’alta percentuale di utenti che ricorre a questa tecnica indica che molti utilizzano password facili da ricordare e quindi semplici da indovinare con attacchi di forza bruta (brute force) e tecniche di social engineering. Gli utenti hanno invece necessità di un metodo sicuro per memorizzare le proprie credenziali e soprattutto devono aggiornare periodicamente le password.

Altre ricerche evidenziano come più della metà degli utenti possieda tra uno e quattro dispositivi non protetti da password o da una forma di autenticazione biometrica (come l’impronta digitale).

Dato anche questo allarmante, una buona parte degli utenti è più interessato a creare una password facile da ricordare piuttosto che affidarsi a una password efficace in grado di garantire un buon livello di protezione.

Fintanto che non si diffonderanno le passkey, uno strumento che a medio termine dovrebbe portare all’accantonamento delle tradizionali password, è importante creare password sicure, capaci di resistere a ogni possibile forma di attacco, anche quelli sferrati stanziando ingenti risorse computazionali.
In un altro articolo abbiamo visto quanto tempo ci vuole per violare una password e, ad esempio, risalire alla password in chiaro partendo dal corrispondente hash.

Sarebbe più grave subire un furto in casa o un furto dei dati protetti dalle proprie password? Sicuramente, per la maggior parte delle persone, è più grave il secondo caso. A casa, a parte per chi possiede oggetti di grande valore o grosse somme di denaro, generalmente si rischia che vengano rubati oggetti di uso comune come TV, macchine del caffè, biciclette, ma online? Online gli aggressori potrebbero sottrarre denaro da un conto corrente, pubblicare foto “imbarazzanti” che potrebbero mettere a rischio la reputazione, leggere i messaggi WhatsApp e pubblicare su Instagram foto non desiderate: potenzialmente un disastro sia dal punto di vista personale che lavorativo.
“Ma allora perché mettiamo a casa serrature moderne con scheda chip, porte blindate, telecamere, domotica, controllo degli accessi e sul telefonino o sul profilo social mettiamo una password con la data di nascita, il nome del gatto o dei fidanzati?”, osserva Alessio Aceti, CEO e fondatore di Sababa Security, primario operatore italiano nel settore della cybersecurity.

Scegliere bene le password, proteggerle meglio e affidarsi a sistemi di autenticazione più evoluti

La scelta di una buona password è fondamentale per proteggere i propri account online da eventuali attacchi informatici. Una password debole può essere facilmente indovinata o decifrata dagli aggressori compromettendo la sicurezza dei propri dati personali e delle informazioni sensibili, come le informazioni bancarie o le password di accesso ad altri account.

Una password forte, invece, può proteggere efficacemente i propri account, impedendo agli hacker di accedere ai propri dati. Una buona password dovrebbe essere lunga, complessa e non facile da indovinare, utilizzando una combinazione di lettere maiuscole e minuscole, numeri e simboli.

Proponiamo di seguito le regole d’oro per la creazione di password valide e utili a proteggere i propri account e la propria identità online.

1) Non scegliere password prevedibili
Vanno sempre assolutamente evitate password “deboli” e soprattutto contenenti riferimenti alla propria persona, a date importanti, parenti, ricorrenze, animali domestici e così via. Spesso le informazioni utili per violare un account possono essere “rastrellate” agevolmente sui social network. Il caso Cambridge Analytica-Facebook dovrebbe aver fatto scuola.

2) Scegliere sempre password complesse e sufficientemente lunghe
Non si dia ascolto a chi vuole a tutti i costi una password semplice da ricordare. Le password dovrebbero essere lunghe (preferibilmente 12 caratteri o più) e complesse, utilizzare caratteri alfanumerici (lettere maiuscole, minuscole, lettere e numeri, caratteri speciali) e almeno un simbolo. Queste attenzioni permettono di scongiurare qualunque rischio di attacco brute force oppure basato sui dizionari.
È ovvio che per i servizi online che non ospitano dati personali o informazioni riservate, si possono impostare password meno complicate ma la scelta di password “efficaci” è fondamentale per evitare situazioni spiacevoli.

La funzione per salvare le password con Google, ad esempio nel browser Chrome, aiuta a controllare la sicurezza di password e credenziali.

È inoltre possibile fare uso di un generatore password sicuro che permette di creare nuove password senza scervellarsi e attenendosi alle best practice universalmente riconosciute.

3) Non utilizzare mai, per nessun motivo, le stesse credenziali per più account
Una pratica purtroppo molto diffusa consiste nell’utilizzo delle stesse password per l’accesso ad account completamente differenti.
È bene accertarsi invece di non riutilizzare mai la stessa password per più account: nel caso in cui uno venisse violato o si verificasse un furto dei dati lato server, un malintenzionato avrebbe gioco facile per accedere ad altri account del medesimo utente.
La storia di Have I been pwned e le verifiche che il sito permette di effettuare consentono di capire immediatamente la gravità del problema.

4) Non condividere mai i dati di autenticazione
Nome utente e password per l’accesso ai propri account non devono mai, per nessun motivo, essere condivisi con altri utenti.
Inoltre, le proprie password non devono mai essere comunicate via email o mediante software di messaggistica istantanea. Anche se tanti applicativi utilizzano oggi la crittografia end-to-end, è sempre bene usare la massima attenzione. Ad esempio perché chi ha accesso fisico al dispositivo del destinatario, può comunque rubare le password molto facilmente. Stessa cosa dicasi per un malware che dovesse andare in esecuzione sul dispositivo del mittente o del destinatario del messaggio.

5) Valutare l’utilizzo dell’autenticazione a due fattori o verifica in due passaggi
Soprattutto per la protezione di quegli account che contengono molti dati personali (si pensi a quelli di Facebook, Google, Microsoft, Dropbox e così via), si può pensare di attivare l’autenticazione a due fattori.
Per accedere all’account non si dovrà così conoscere e introdurre solamente i propri nome utente e password corretti ma verrà chiesto di usare un dispositivo che si possiede o un parametro biometrico per poter accedere.

In un altro articolo abbiamo visto cos’è l’autenticazione a due fattori e come gestirla al meglio.

Sono molti i servizi che permettono di attivare l’autenticazione a due fattori: nell’articolo pubblichiamo una lista completa, sempre aggiornata.

6) Utilizzare un buon password manager
Scrivere le proprie password su di un supporto cartaceo non è mai consigliabile: potrebbe infatti essere oggetto di furto o consultato da persone non autorizzate.
Il modo migliore per proteggere le proprie password è sfruttare un password manager evitando l’utilizzo di quello integrato nel browser.

Un ottimo software per gestire le password in locale, anche sui dispositivi mobili, in forma cifrata è Keepass: è possibile anche configurare i propri device in maniera tale che username e password siano salvati al sicuro e sincronizzati automaticamente.

Per gli utenti aziendali abbiamo presentato il software open source Psono installabile e utilizzabile anche on-premise.
Anche il noto Bitwarden è installabile su un proprio server o su un sistema NAS.

Molto valido che anche Passbolt, un password manager open source progettato espressamente per i professionisti e per le aziende.

7) Collegarsi sempre a pagine HTTPS e valutare l’uso di VPN durante l’impiego delle reti WiFi amministrate da terzi o da sconosciuti
Diffidate dei siti Web che non fanno viaggiare le password su connessione cifrata ricorrendo al protocollo HTTPS e a un certificato digitale valido e non scaduto.

Quando ci si collega a Internet usando una WiFi altrui sarebbe opportuno creare un tunnel crittografato in modo che tutte le informazioni in transito non possano essere lette da parte di terzi. Nella maggior parte dei casi l’utilizzo di HTTPS per la consultazione del Web è più che sufficiente ma molti utenti continuano non soltanto a scambiare informazioni personali con pagine Web che trasferiscono i dati in chiaro (via HTTP) ma usano ad esempio client di posta che si collegano a server POP3/IMAP senza alcuna cifratura (non viene usato il protocollo TLS).