Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Come creare una password sicura: esempi e suggerimenti per la gestione password

pittogramma Zerouno

SICUREZZA

Come creare una password sicura: esempi e suggerimenti per la gestione password

04 Gen 2017

di redazione TechTarget

Nel mondo digitale impostare le chiave di accesso e chiave di sicurezza di rete che rendono esclusivo e quindi protetto il mondo dei dati è diventato un must. Ecco come progettare password sicure, a prova di hacker, impossibili da rubare e decifrare ma anche facili da ricordare

Che cos’è una password

Una password (parola di accesso) è una parola che permette di accedere a delle pagine riservate, protette appunto da tale password. In un sistema di questo tipo, ad ogni nome utente univoco (può essere l’indirizzo email, oppure un nome utente, un ID, etc) è associata una password. Digitando tale parola segreta accanto al proprio nome utente, è possibile accedere al servizio protetto da password.

Un esempio sono i provider di posta elettronica, come gmail, dove per poter accedere alla propria posta è necessario inserire il proprio nome utente (indirizzo email in questo caso) unito alla password di accesso.

Ma come creare una password sicura? Con un po’ di astuzia e molta strategia. Eppure sono più di quarant’anni che gli IT manager combattono (e perdono) la battaglia delle password e della sicurezza.

La domanda sorge spontanea: come può una cosa che sembra così semplice come una parola chiave diventare una questione così complicata? Il problema è che le password sono logicamente facili e, allo stesso tempo, estremamente sofisticate.

Sul tavolo non ci sono le tecniche di protezione delle password archiviate quanto, piuttosto, una componente umana che entra a far parte dell’equazione di rischio.

Esempi di password non sicure, e suggerimenti per generare password sicure

Se si chiede a un qualsiasi professionista della sicurezza IT se sappia cosa siano e come funzionino le password, la maggior parte di loro vi risponderà in modo affermativo. Come mai le violazioni delle password sono all’ordine del giorno, allora? Perché gli utenti mettono così poco ingegno nella scelta delle loro password? La risposta è: per un vizio di forma. La maggioranza delle persone, infatti, continua a scegliere password sbagliate. Qualche esempio di password? La password più comune del 2016 è stata “123456“. Il secondo posto è andato alla parola “password“, e il terzo posto al codice “12345678“.

Un altro errore fatto dalle persone è quello di usare la stessa parola ripetuta al contrario, ad esempio “pizzaazzip”. Come fanno notare gli esperti, questa è un’altra delle formule più usate per creare le parole chiave e il cybercrime lo sa molto bene. Esistono in rete decine di programmi (gratuiti) che indovinano le password e questo tipo di pattern è tra i più facili di individuare. Una regola fondamentale per creare password sicure è aumentare la casualità nella relazione tra le parole, in modo che decifrare la sequenza di parole diventi davvero complesso anche per l’hacker più abile.

Nell’elenco delle favorite a livello internazionale (complice una dominanza della madrelingua anglossassone) troviamo “iloveyou“, “letmein“, “abc123” e “principessa“. Si tratta di scelte comuni e scontate, che ogni anno si ripetono senza un minimo di senso della sicurezza e che imporrebbe un cambio repentino proprio per scoraggiare hacker e cybercriminali che hanno gioco facile con questo tipo di password.

Come creare una password sicura: la più inviolabile è alfanumerica, con caratteri speciali e complessa

Uno dei più grandi errori che il settore della sicurezza informatica continua a fare, è spingere gli utenti ad implementare password estremamente complesse senza spiegarne i motivi.

È vero, infatti, che una password semplice è più facile da ricordare e da trascrivere, così come è anche vero che se la password è troppo corta e utilizzata su tutti i siti, diventa più a rischio rispetto a una password lunga (con una pericolosità che cresce soprattutto rispetto alle password legate ai siti di e-commerce e all’online banking).

Il termine password complessa è forse il termine più soggetto a fraintendimenti nel settore IT (nonché la causa di molti dei problemi associati oggi alla gestione delle password).

Troppo spesso il binomio password complessa diventa sinonimo di password impossibile da ricordare. Dobbiamo arrivare a capire che la complessità è solo una piccola parte dell’equazione. Non è semplicemente una questione di complessità, ma di imprevedibilità (il concetto di entropia di una password può essere inversamente proporzionale al concetto di password prevedibile). E questa è la chiave per una buona password.

Esempi per creare password sicure ed efficaci (e facili da ricordare)

Una password è sicura quanto è più imprevedibile. Paradossalmente, una password imprevedibile può anche essere facile da ricordare. Una buona pratica è utilizzare una combinazione di lettere maiuscole, minuscole, numeri e caratteri speciali (regole di complessità classiche).

Un primo esempio è giocare con gli acronimi di una frase semplice e rappresentativa come ad esempio:

  • Io mi chiamo Renato e ho 3 figli
  • che diventa: ImcReh3F

Un secondo esempio è quello di costruire una stringa, sempre elaborando una frase semplice e preferenziale, tipo :

  • Homangiato1pizzaDomenicaeLunedì
  • che diventa: Hm1pDeL

Questo tipo di password, detta, più precisamente, passphrase, è facile da ricordare e facile da digitare. Oltre a non essere prevedibile, è una password considerata complessa dagli esperti di sicurezza, in quanto contiene numeri e maiuscole che fanno parte dei caratteri speciali caldamente consigliati per evitare violazioni.

Un terzo esempio è di usare una parola preferenziale integrata alla tecnica del padding, ovvero andando a farcire la frase con altre parole che servono a creare una password sicura e imprevedibile, tipo:

  • Pastacon3Olive
  • PizzaMeglio5fette

Il principio è che il padding aiuta ad allungare la password semplicemente aggiungendo un numero a scelta di extra caratteri casuali alla fine della password.

Un altro consiglio degli esperti è di immaginare una frase corta: questo perché ci sono maggiori sono le probabilità che un utente se la ricorderà. Il fatto è che con la sofisticazione delle minacce, bisogna introdurre maggiore complessità. Così se ieri una password di 8 caratteri era considerata sicura, oggi lo è di più una password di 9 caratteri (ma gli esperti consigliano di ragionare già nell’ordine dei 13 caratteri e più).

Aggiungete alla frase corta un pizzico di complessità e subito si otterrà una password che non trova voce nel dizionario di un hacker e può essere spezzato solo ed esclusivamente con un attacco estremamente mirato.

Come si crea una password difficile da indovinare

Un altro trucco è quello di creare un nome utente univoco se non impossibile. Mentre molti siti richiedono l’indirizzo email di un utente come il nome dell’utente, alcune istituzioni finanziarie consentono invece la creazione di nomi utente particolari.

Se l’utente ha il proprio indirizzo di posta elettronica come nome utente per ogni sito, in cui occorre una sua registrazione (in particolare con la stessa password), l’informazione è compromessa in partenza perché è possibile, per gli hacker, rintracciare altri siti utilizzati dall’utente con la stessa password. Mettere un nome utente univoco sui siti legati a qualsiasi tipo di transazione finanziaria è una buona idea, in quanto utilizza una stringa passphrase diversa dagli altri siti.

Chi si occupa di sicurezza deve dare agli utenti indicazioni su come creare una buona password. Bisogna far capire che “123456” non è una buona password così come non è una buona password una stringa difficile da ricordare. Per diffondere una cultura migliore in materia, bisogna spiegare come si creino password imprevedibili e, soprattutto, perché.

I generatori di password automatici

Un’altra soluzione può essere il generatore password. Per chi non avesse fantasia e fosse intenzionato a creare una passowrd sicura un generatore di password può essere la soluzione.  in rete esistono diversi password generator e siti che creano parole chiavi tenendo conto di crittografia e protezione come, ad esempio,

È facile trovare un generatore password online. A un livello più evoluto c’è Perfect Password di Gibson Research Corporation. Con una passphrase come “Iwentfishing4timeslastmonth?“, ad esempio, secondo la calcolatrice di password GRC prima di identificarla e violarla occorrono oltre 76.43 trilioni di trilioni di secoli oltre a una velocità di 100,000 miliardi di tentativi al secondo. Chiara dimostrazione di una passphrase assolutamente inviolabile.

Quindi con un generatore password sicure, gli utenti possono prendere un paio di stringhe di questa natura e sviluppare una formula che ha senso per loro, modificando la stringa finale su siti diversi. Ad esempio, una password di Facebook potrebbe aggiungere “FB” o l’anno di laurea dell’utente e così via.

Possono esserci anche formule per i generatori di password online che rendono l’equazione ancora più complessa, ma il trucco è tutto lì: personalizzare attraverso frasi che vengono sublimate nel gioco degli acronimi o delle frasi brevi, con alternanze di maiuscole, minuscole e numeri. Utilizzando questo metodo, l’utente può ora avere una password molto forte, facile da ricordare, diversa per ogni sito che visitano e semplice da digitare. È questa la sicurezza perfetta? Naturalmente no. Ma è molto più blindata di una password come “123456” utilizzata in oltre 30 siti diversi.

L’assurdo è che “123456” o la versione inversa sono anche le password spesso utilizzate dalle aziende per proteggere i loro sistemi. Perché? Perché l’IT manager di turno sceglie una parola impersonale, che semplifica l’accesso ai colleghi, ma anche agli hacker. Il resto è cronaca.

Ma come fa un hacker a sgamare la mia password?

Abbiamo visto consigli e trucchi per creare una password sicura, difficilmente intercettabile da un hacker o malintenzionato. Ma come fanno davvero gli hacker a rubare una password? Alcuni metodi di hackeraggio password possono aiutare a scegliere password più sicure, e difficilmente intercettabili.

Alcuni dei metodi utilizzati dagli hacker per violare una password sono:

Social Engineering: il social engineering consiste nello sfruttare siti come social network e luoghi online di interazione, per parlare con la vittima oppure studiare attentamente il profilo, in modo da evidenziare dettagli importanti che potrebbero rivelare una password (ad esempio nomi dei figli, fidanzati, amici, oppure la data e il luogo di nascita etc.)

Brute force attack: l’attacco brute force consiste nell’esecuzione di un programma, che in poco tempo effettua un numero molto elevato di combinazioni (prese da un dizionario creato ad hoc, magari con l’inserimento di parole individuate dal social engineering) di password, per cercare di individuare la password esatta. Effettuando un’elevato numero di richieste al secondo, per poter avviare un attacco brute force è necessario avere un computer (più o meno potente) acceso per molte ore.

Quindi, per evitare di farsi fregare la password da un hacker, si può ad esempio:

  • evitare password che contengono dati personali, rintracciabili sui social network oppure online (nomi figli, fidanzati, dati personali etc)
  • evitare di inserire dati relativi alle password su siti e social network
  • creare password complesse, composte da numeri e lettere (alfanumeriche) e da caratteri speciali
  • non ripetere sempre la stessa password su tutti i siti
  • inserire dei blocchi che bloccano l’accesso quando la password è stata sbagliata per xy volte consecutive (in modo da bloccare eventuali attacchi brute force)

redazione TechTarget

Articolo 1 di 5