Sicurezza: la scelta della password
Attenzione
Questo articolo è stato pubblicato più di un anno fa, potrebbero esserci stati sviluppi.
Ti preghiamo di tenerne conto.
Tenere i propri dati al sicuro è importante, e sul web l’unico ostacolo che ci separa da un malintenzionato è una password efficace. Di norma si considera una password di media robustezza quando soddisfi certi requisiti che di seguito andrò a elencare. Va ricordato che anche seguendo questa guida passo per passo esiste la possibilità che la password venga comunque rubata. Tralasciando motivi come l’installazione di malware, potrebbe accadere perché il ladro usa una rete di supercomputer con una velocità di calcolo oltre ogni aspettativa, ma fortunatamente capita prevalentemente in ambito di spionaggio industriale.
L’articolo di oggi non vuole fornire istruzioni ai professionisti, ma cerca di essere una guida per l’utente medio che non vuole vedersi sottratte informazioni personali.
Iniziamo col dire che una buona password dev’essere sufficientemente lunga. Più caratteri conterrà, maggiori saranno le combinazioni che il ladro dovrà tentare, perdendo così tempo e magari anche la speranza. Per fare un paragone assurdo: se la password fosse composta da un solo carattere il ladro potrebbe tentare le lettere maiuscole, le lettere minuscole, le maiuscole accentate, le minuscole accentate, i numeri, i simboli (+, -, x, :, ecc.). Con un carattere le combinazioni si esauriscono in fretta. Se la password è composta da due caratteri il ladro deve provare tutte le password precedenti moltiplicate per lo stesso numero. Con tre caratteri la stessa cifra viene moltiplicata un’altra volta, e così via in modo esponenziale.
Si considera una password mediamente robusta quando è composta da almeno 8 caratteri alfanumerici, che contenga maiuscole, minuscole, simboli e numeri disposti in modo apparentemente casuale.
Come già detto è chiaro che più caratteri useremo per comporla, minore sarà il rischio per noi.
È poi importante fare in modo che i diversi caratteri siano distribuiti in modo non ordinato. Una password come “aaAA11–” è facilmente decriptabile. Una password come “aW1-+e-qK” è già più complessa. Per avere un’idea della complessità della password Microsoft mette a disposizione fra le pagine del suo sito un piccolo tool per fare il test il sito Comparitech ci da un aiuto. Come vedete la la prima password da me citata si ferma al lprimo step, la seconda arriva appena al secondo “mattoncino”, ed è considerata di media complessità.
È vero che non esistono password completamente “sicure”?
Si, per lo stesso motivo per cui prima ho tirato in ballo il supercomputer. Non esiste una password completamente sicura (a meno che non si utilizzi una immagine per criptare, o un file particolare), scoprire la password per un ladro è solo questione di tempo. Di solito ci si connette dal proprio pc e gli si eseguono dei programmi automatici che provano tutte le combinazioni. Un pc con elevata capacità di calcolo riuscirà prima ad entrare, un vecchio pc riuscirà dopo. Riuscirà comunque in ogni caso. Se poi la password deve decriptare un servizio in internet (banca, mail, ecc) esiste poi il limite fisico della banda del ladro e della vittima. Le informazioni passano attraverso i cavi del telefono come l’acqua passa in una tubatura. Se il limite di un tubo di 1mt di diametro è di 10lt di acqua al secondo, per farne passare 20 dovremo attendere due secondi e così via. Le password non sono eterne, ma vanno cambiate una volta ogni tanto.
Ogni tanto la mia banca mi obblica a cambiare la password di accesso al mio conto online perché troppo vecchia. È proprio necessario?
Cambiare la password è un po’ seccante, soprattutto ricordarne una nuova a distanza di due mesi, più che altro perché non tutti accediamo quotidianamente al conto online, ma è necessario proprio perché, come dicevamo, la password non ha efficacia eterna. A seconda della lunghezza si può stimare l’efficacia nel tempo della password, se non vogliamo spendere del tempo per testarne l’efficacia basta tenere presente di sceglierne una di media robustezza e ricordarsi di cambiarla una volta ogni due/tre mesi.
Non esiste nessuna misura di sicurezza alternativa che può farmi tenere “una password per la vita”?
Di recente Google ha implementato la verifica della password in due passaggi. Ne è arrivata comunicazione a tutti gli utenti Gmail, o a chi avesse un GoogleID. La vecchia password rimane tale (nessuno ci vieta comunque di cambiarla), e in più arriva un SMS al numero impostato dal proprietario della casella di posta Gmail o del GoogleID. Il messaggio contiene un breve codice, inserendolo si avrà finalmente accesso al proprio account Google. C’è da dire che è una soluzione molto sicura, ma non è certo congeniale se un utente per pigrizia è restio a cambiare la password. C’è anche il rischio che il cellulare sia spento, senza batteria, rubato o perso. In quel caso temporaneamente non si avrà accesso ai propri dati, finché non torneremo in possesso del numero.
Quali sono gli errori comuni nella scelta della password? Esiste un decalogo delle cose da non fare?
Solitamente si tende a scegliere una password facile da memorizzare. Si tenta di legarla a un avvenimento, una persona, una data o altro che abbia un collegamento con la nostra vita. Nulla di più sbagliato. In breve:
- evitare i nomi propri o comuni, i luoghi, le parole ovvie, parole che potrebbe contenere un dizionario, termini di senso compiuto, slang giovanile, o dialetti locali,
- evitare quanto più di sostituire alcuni caratteri con dei numeri che ne richiamino la forma (la “o” con “zero”, la “i” con “uno”, ecc). Chi vuole rubare una password non è stupido, la sostituzione dei caratteri con numeri di forma simile è uno dei primi tentativi di attacco,
- se non è necessario, non appuntarsi la password, tentiamo di memorizzarla. La carta è volatile e facile da rubare. Potremmo ad esempio salvare un numero di cellulare fittizio nella nostra rubrica che contenga la password (anche questo non è un metodo troppo sicuro), oppure salvarla in una mail che ci inoltreremo,
- non tenere la stessa password per molto tempo. Un termine medio per non correre rischi è il limite di due mesi,
- cercare di non usare la stessa password per più servizi web o account.
Da qualche tempo sono sorti nel web alcuni siti che si offrono di salvare le password degli utenti e renderle disponibili all’interno dell’account (Roboform, Lastpass, ecc.). Ci sono da fare alcune considerazioni. È indubbiamente comodo avere tutte le password a portata di mano in un solo colpo, ma questa è chiaramente una diminuzione di sicurezza. Basta scoprire una password per averne a disposizione altre. C’è poi da dire che bisogna avere una bella fiducia nel sito a cui ci si iscrive per fornire tutte le password di tutti i servizi utilizzati. Spesso questa soluzione viene fortemente consigliata sui blog, o sui social network, ma a meno che non sappiamo con esattezza a chi forniamo i nostri dati di accesso ci andrei cauto.
0 commenti