Recentemente, un gruppo di ricercatori ha scoperto che il portale Equifax aveva salvato 14.000 schede con dati personali protette con la coppia di nome utente e password “admin/admin”. Il caso è stato rapidamente risolto, ma rispecchia alla perfezione la scarsa importanza data alla sicurezza delle password, un problema che continua a minare la cybersicurezza di migliaia di aziende e persone.

Nonostante i danni incalcolabili di un furto di identità, la maggior parte degli utenti utilizza password facili da indovinare. Purtroppo non si tratta solo di imprudenza, ma della vera e propria natura dell’essere umano. Capire il problema ti aiuterà a creare password sicure.

Il problema della prevedibilità umana

Recentemente, il fondatore dell’attuale strategia delle password, Bill Burr, ha ammesso di essersi pentito dei consigli che aveva dato agli utenti di Internet. Quando lavorava al National Institute of Standards and Technology (NIST) nel 2003, Burr ha scritto una guida in cui esponeva due principi fondamentali della creazione di password:

  • Devono contenere caratteri alfanumerici, lettere maiuscole e minuscole e caratteri speciali.
  • Devono essere modificate ogni 90 giorni

In base al primo principio, una password complessa ed efficace deve avere un aspetto simile a “S3cur1Ty%”, che sembra piuttosto aleatoria, ma in realtà è abbastanza facile da dedurre per un hacker. Il fatto è che l’essere umano è prevedibile.

Ad esempio, la maggior parte delle persone scrive in maiuscolo l’iniziale della password. Inoltre, utilizziamo quasi sempre lo stesso metodo di sostituzione numerica delle lettere, ad esempio 3 al posto della E, 1 al posto della I e così via. Queste due strategie comuni bastano per rendere le nostre password molto prevedibili.
Da allora, il NIST ha rivisitato le linee guida di Burr, ammettendo che quando devono creare password complesse, gli utenti “rispondono in modo scontato ai requisiti imposti dalle regole di composizione”.

Il secondo principio causa un problema simile. Chi cambia periodicamente le password tende ad apportare modifiche poco importanti, ad esempio aggiungendo “1” alla fine, con risultati un po’ diversi da quelli delle famose macchine Enigma. Il NIST non consiglia più di modificare le password ogni 90 giorni. Invece, propone di modificarle quando è necessario, come nel caso del problema di sicurezza di Equifax.

Come fanno i cybercriminali a rubare le password?

Vi sono molti modi in cui un hacker può rubare o scoprire una password.

Password alfanumeriche e attacchi di forza bruta

Gli hacker utilizzano software che provano migliaia e migliaia di combinazioni diverse per indovinare una password alfanumerica. Dato che il titolo di password peggiore del mondo è ancora detenuto da “123456”, gli attacchi di forza bruta sono un metodo tuttora efficace per impossessarsi di informazioni personali.

I software di ricerca esaustiva delle password hanno nomi come Brutus, RainbowCrack e Wfuzz e possono essere scaricati gratuitamente. Gli attacchi di forza bruta funzionano soprattutto quando la password è corta, mentre hanno difficoltà a indovinare password lunghe e complesse. In quest’ultimo caso, gli hacker devono impiegare altri metodi.

Attacchi a dizionario

Come suggerito dal nome stesso, i software di attacco a dizionario utilizzano un elenco prestabilito di termini, provando varie combinazioni e variazioni delle parole. Paradossalmente, i cybercriminali utilizzano le password rubate per semplificare i furti. I cyberladri acquistano elenchi di password rubate nel mercato nero online e non le utilizzano per attaccare gli utenti, ma per determinare le password più utilizzate. Approfittano della prevedibilità umana per restringere le ricerche dei loro attacchi.
Anche certe aziende legali acquistano password rubate per cercare di proteggere le informazioni dei propri clienti.

Data l’esistenza di questi elenchi di password, il NIST consiglia di utilizzare i siti che valutano l’efficacia delle password confrontandole con una “lista nera” di password non accettabili. Se provi a inserirne una che appartiene all’elenco, questi siti web potrebbero non accettarla.

Attacchi mediante monitoraggio del Wi-Fi

Un hacker può rubare la tua password anche quando sei connesso a una rete Wi-Fi pubblica. Esistono dei software particolari in grado di avvisare il cybercriminale quando ti connetti al Wi-Fi e inserisci le credenziali di accesso. A questo punto, l’hacker intercetta la comunicazione e registra i dati trasmessi, rubando i tuoi dati di accesso. Gli attacchi Wi-Fi e i alcuni punti deboli scoperti recentemente hanno reso gli attacchi mediante monitoraggio del Wi-Fi una minaccia molto più seria rispetto al passato.

Attacchi di phishing

I cybercriminali utilizzano email e siti web fraudolenti per rubare le password. La maggior parte degli attacchi di phishing consiste nell’invio di un’email che sembra provenire da un’organizzazione reale e legittima, ad esempio una banca, una piattaforma online o un ente pubblico. Queste email contengono un allegato da scaricare o un link a un sito web falso in cui ti viene richiesto di eseguire l’accesso con le tue credenziali.

Ad esempio, potresti ricevere un’email che sembra inviata dalla tua banca, ma il cui mittente reale è un ladro che vuole reindirizzarti sul proprio sito fraudolento per ingannarti e farti inserire il tuo nome utente e la password. La buona notizia è che, nonostante gli hacker escogitino truffe sempre più sofisticate, vi sono molti metodi efficaci per riconoscere un attacco di phishing e non cadere nelle loro trappole.

Come creare una password sicura: nuove strategie

Per creare password sicure bisogna trovare il giusto equilibro tra facilità di memorizzazione e casualità. Ecco alcune nuove strategie basate sulle ultime linee guida del NIST e alcuni esempi di password efficaci.

Smetti di essere prevedibile

Ora che hai capito perché i principi di Burr portano alla creazione di password più facili da indovinare, puoi evitare questo problema utilizzando un sistema di creazione casuale personalizzato.

Sostituzioni personalizzate

Invece di usare il solito metodo di sostituzione, ad esempio 4 per A, $ per S e così via, inventa un sistema tutto tuo, basato su abbinamenti singoli. Ad esempio, se il tuo nome inizia con A e hai due sorelle maggiori, sostituisci tutte le A con il numero 3. Oppure puoi sostituire tutte le L con il numero di L presenti nel titolo del tuo film preferito, ad esempio nel “Il signore degli anelli” vi sono 4 L, per cui potresti sostituire tale lettera con il numero 4.

Maiuscole

Anche in questo caso, evita di inserire le maiuscole in modo prevedibile, ad esempio all’inizio o alla fine della parola. Utilizza un metodo personale oppure inserisci una maiuscola in un punto che ti aiuti a memorizzare la password. Se utilizzi associazioni personalizzate, non solo la password sarà più facile da ricordare, ma soprattutto sarà molto più difficile indovinarla.

Lunghezza

Più lunga è, meglio è. Le password alfanumeriche che contengono più caratteri sono più resistenti agli attacchi di forza bruta perché sono più complesse. Come regola generale, una password non dovrebbe mai contenere meno di 8 caratteri. Il NIST consiglia ai siti web di incoraggiare gli utenti a creare password lunghissime. Ma ricorda, più lunga è la password e più sarà difficile da ricordare.

Acronimi

Utilizzare acronimi basati su una frase più lunga è un buon metodo per creare una password complessa, sicura e facile da ricordare. Ecco come si fa:

  1. Trova una frase facile da ricordare. Esempio: “a caval donato non si guarda in bocca”
  2. Crea un acronimo utilizzando la prima lettera di ogni parola contenuta nella frase. In base al nostro esempio: acdnsgib.
  3. Aggiungi numeri e caratteri speciali seguendo i principi di sostituzione e uso delle maiuscole descritti sopra. Nel nostro caso, una buona password potrebbe essere “ac1D1nsGib%”.

Più è personalizzata e lunga la frase iniziale che scegli e più sarà sicura la password.
Nota: “personalizzata” non significa personale. Non utilizzare MAI dati personali come la data di nascita o altre informazioni che un ladro potrebbe trovare facilmente. In base a quanto detto, ecco un esempio di frase da non utilizzare per creare l’acronimo e la password: “Sono nata il ventitré settembre millenovecentosettantotto”.

Password difficili: utilizza una passphrase

Le passphrase, o frasi di accesso, vengono create a partire da parole casuali unite l’una all’altra. Contro queste espressioni, gli attacchi a dizionario sono inutili perché cercano strutture e combinazioni comuni. Ad esempio, supponiamo che utilizzi un generatore casuale di parole e trovi i seguenti termini: “corridoio”, “tramonto”, “vela” e “maglione”. A questo punto potresti combinarli per creare una password lunga e aleatoria come “velamaglionetramontocorridoio”. Adesso aggiungi delle sostituzioni personalizzate e dei caratteri speciali poco ovvi e avrai creato una password efficace e facile da ricordare.
Nota: alcuni esperti di sicurezza sostengono che l’efficacia delle frasi di accesso con parole casuali non è così alta come sembra, perché il lessico dell’utente medio con istruzione universitaria è di sole 80.000 parole.

Utilizza la verifica in due passaggi

Se non hai ancora impostato la verifica in due passaggi (2SV) nei tuoi account, ti consigliamo di farlo il prima possibile. Questo metodo è anche noto come “autenticazione a due fattori” e fornisce un ulteriore livello di protezione, chiedendoti di confermare la tua identità in due modi diversi. Il funzionamento di molti sistemi 2SV consiste nell’invio di un messaggio di testo al telefono dell’utente con un codice di accesso. Quando inserisci il codice il sito web ti concede l’accesso all’account.

L’autenticazione a due fattori ha alcune falle a causa della possibilità di attacchi Wi-Fi e di phishing, tuttavia il NIST consiglia caldamente di utilizzarla. Recentemente Google ha annunciato il lancio del proprio programma 2SV, chiamato Google Prompt, per i telefoni Android. Google ha dichiarato che Prompt è più semplice e più sicuro rispetto ai tradizionali metodi di verifica in due passaggi.

Utilizza uno strumento di gestione delle password

Un altro problema di sicurezza delle password è che circa il 60% delle persone ne ha solo una e la utilizza per più account. Gli svantaggi sono evidenti, ma è anche vero che con tutti i servizi online che usiamo oggigiorno è complicato creare tante password uniche e semplici da ricordare.

Gli strumenti di gestione delle password cominciano a essere abbastanza diffusi tra gli utenti di Internet, perché consentono di creare password sicure senza doverle memorizzare tutte. La maggior parte di essi funziona così: aggiungi al programma tutte le credenziali di accesso dei tuoi account online e poi crei una password principale per accedere al programma di gestione. In questo modo ti basta ricordarne una per visualizzare e utilizzare tutte le altre. Inoltre, molti di questi programmi dispongono di un generatore di password.

Se hai bisogno di creare una password efficace, evita a tutti i costi di essere prevedibile. Una buona password deve essere unica e irripetibile, per cui ti consigliamo di seguire le linee guida del NIST e gestire con attenzione le credenziali di accesso ai tuoi account per tenere alla larga i cybercriminali.