Proteggere le informazioni personali con una password complessa e il modo migliore per farlo.
La gestione delle password è una parte fondamentale della vita su Internet e dell’interazione con la tecnologia. Le password proteggono qualsiasi cosa, da quelle più banali a quelle di importanza vitale e tutto il resto. Sono le chiavi delle serrature digitali delle nostre proprietà online e in quanto tali svolgono un ruolo importante nel proteggere le nostre vite dai malintenzionati che vogliono rubare le identità e creare scompiglio in generale.
È quindi fondamentale che siate gli unici a conoscere o a poter indovinare le vostre password. Ma cosa fa di una password una buona password? Per capirlo, bisogna sapere una o due cose su come i malintenzionati di Internet decifrano le password.
Brute-force attacks o Attacco di forza bruta
Nel linguaggio della sicurezza digitale, cercare di indovinare ripetutamente una password si chiama attacco a forza bruta. L’idea è semplice: provare ogni combinazione di lettere e numeri finché non si trova quella giusta. Per un essere umano, questo tipo di compito sarebbe noioso, ripetitivo, soggetto a errori e richiederebbe molto tempo. Per un computer, la maggior parte di questi problemi diventa banale.
Secondo NordPass, i computer possono indovinare da 10.000 a un miliardo di password al secondo, ma questo dipende dalla potenza del computer. Per indovinare un numero PIN di quattro cifre (10.000 PIN possibili) ci vorrebbe un secondo nel caso peggiore in cui il computer più lento non trovi il PIN corretto fino all’ultimo controllo.
Quando si tratta di password alfanumeriche composte solo da lettere minuscole e numeri (36 caratteri possibili), una password di sei caratteri (36⁶ combinazioni di caratteri possibili) potrebbe essere risolta in 217.679 secondi (2,5 giorni) con un normale computer o in circa 2 secondi nel caso del supercomputer. E ricordate, questi numeri sono il tempo massimo necessario per forzare le password. Questo è inaccettabile dal punto di vista della sicurezza.
Tuttavia, una password complessa come “@c30techIT” è molto più difficile da indovinare. Ha dieci caratteri, maiuscole, minuscole, numeri e simboli, quindi facendo un calcolo approssimativo ha oltre sette quadrilioni di combinazioni di password. Questo livello di complessità è sufficiente per contrastare il nostro computer a bassa potenza, che impiegherebbe oltre 19.000 anni per forzare tutte le combinazioni e offre una difesa ragionevole contro il nostro supercomputer, che impiegherebbe oltre 70 giorni per indovinarle.
Attacchi al dizionario
Questi calcoli presuppongono il tempo più lungo possibile, con il computer che indovina solo l’ultimo cambiamento possibile dei caratteri. In realtà, il tempo medio necessario per indovinare una password sarebbe circa la metà di quello indicato sopra. Peggio ancora, le persone sono pessime nello scegliere le password, ma (per lo più) non è colpa nostra. Il problema è che le password migliori per contrastare gli attacchi a forza bruta sono una distribuzione casuale di lettere, numeri e simboli. Le password più facili da ricordare sono costituite da numeri e parole che hanno un significato personale. Questo ci apre a una nuova vulnerabilità: gli attacchi a dizionario.
Questo tipo di attacco si basa sul fatto che la maggior parte delle persone usa parole comuni nelle proprie password, quindi invece di testare ogni combinazione di ogni possibile carattere, un aggressore può limitarsi a testare parole note per essere usate in molte password. E, cosa ancora peggiore, vista la moltitudine di violazioni di dati avvenute nell’ultimo decennio, gli hacker possono trovare elenchi di centinaia di milioni di password da testare, ben lontani dai sei quadrilioni di possibilità dell’esempio precedente.
Cracking delle password
Un’altra possibilità di attacco per gli hacker è rappresentata dal modo in cui i servizi online memorizzano le password. Le aziende non salvano un elenco di password in chiaro. Ciò renderebbe i dati degli utenti troppo vulnerabili. Utilizzano invece un tipo speciale di crittografia per memorizzare le password. L’idea è quella di creare una funzione per convertire facilmente una password in un nuovo valore, in modo che sia molto difficile determinare il valore originale in base a quello convertito.
Da quando le aziende hanno iniziato a utilizzare questi algoritmi, gli hacker si sono dati da fare per trovare il modo di decifrarli. Alcuni, come SHA-1, sono stati compromessi a tal punto che una semplice ricerca su Google del valore convertito rivela la password originale. Altre possono essere decifrate in poche ore con la forza bruta, semplicemente affittando un po’ di tempo su AWS.
Con la proliferazione di questi tipi di attacchi, un malintenzionato ha solo bisogno di un elenco di password criptate e di un po’ di tempo per accedere ai vostri account.
La soluzione
Come possiamo essere sicuri che nessuno possa indovinare le nostre password? Una buona regola è quella di considerare i moderni requisiti per le password degli istituti finanziari. La mia banca, ad esempio, richiede che la mia password sia lunga almeno otto caratteri, con una lettera maiuscola, una lettera minuscola, un numero e un simbolo: Quindi l’esempio precedente di @c30techIT soddisfa tutti i requisiti.
La soluzione a tutti questi problemi sono password più lunghe e complesse. Ma questo introduce un nuovo problema: la maggior parte di noi ha decine di account e non può ricordare 50 password diverse per 50 servizi diversi. La soluzione migliore a questo enigma è una sorta di compromesso. Quando si tratta di avere password diverse per siti web diversi, concentratevi su quelli importanti che controllano l’accesso al vostro denaro come Amazon, PayPal e conti bancari e utilizzate una password più semplice per gli account meno vitali come Netflix e Twitter. In questo modo, se la password viene rivelata in una violazione dei dati, si riduce al minimo il rischio per gli account più vitali.
Per quanto riguarda la creazione di una password che sia resistente agli attacchi brute-force, agli attacchi di dizionario e al cracking, puntate sulla lunghezza piuttosto che sulla complessità. Le password potenziali potrebbero essere basate su un meme, un videogioco o un libro. Evitate però informazioni personali come date di nascita, numeri di telefono o soprannomi, perché questo tipo di informazioni può essere trovato setacciando i social media.
Non c’è bisogno di ricordare tutte le password
Se non riuscite a tenere a mente tutte le password, non preoccupatevi. Sono disponibili numerosi servizi per la gestione delle password. Firefox e Chrome possono persino ricordarle per voi. E per amore di tutto ciò che è sacro, non fate parte dei 100 milioni di persone che usano “123456” come password.