Avete una password forte per ogni singolo account e siete in grado di ricordarla? Fantastico: allora siete in una botte di ferro. Se la risposta è no, vi trovate comunque nel posto giusto: stiamo per spiegarvi come creare password sicure per tutti i vostri accessi.
La prima regola, certamente la più chiara, per generare password sicure è: meglio lunga che breve. Sono consigliati almeno dodici caratteri. Naturalmente una scelta del tipo «AAAAAAAAAAAA» non serve a niente. Anche le semplici sequenze numeriche o di tasti contigui come «123456» o «qwerty» sono tutt’altro che sicure e facilmente «craccabili» anche da parte di hacker dilettanti.
È importante che la password, oltre alla lunghezza, sia caratterizzata da una certa complessità, ovverosia costituisca una riuscita combinazione di lettere maiuscole e minuscole, numeri e simboli speciali.
«‘123456’ è stata la password più utilizzata nel 2020, scalzando la capolista del 2019, ‘12345’, scesa all’ottavo posto. Nella top ten troviamo anche ‘password’, ‘qwerty’ e ‘login’»
Il secondo consiglio che possiamo darvi per generare una password sicura è quello di evitare parole normalmente utilizzate e presenti nel vocabolario, anche se formate da combinazioni di lettere minuscole e maiuscole, caratteri speciali e numeri.
Esempio: da un punto di vista puramente formale una password come «Vertice-del-G7» soddisfa i requisiti di sicurezza, poiché è composta da almeno dodici caratteri di diverso tipo. Ma contenendo un termine con significato proprio, il suo grado di sicurezza risulta già compromesso. Perché? Con l’ausilio di piccoli programmi (script), gli hacker possono infatti provare molto semplicemente ogni parola presente nel dizionario e decifrare la password in un battibaleno. Già da qui capiamo che per generare una password veramente sicura occorre applicare tutta una serie di consigli e stratagemmi.
Oggi la maggior parte delle persone usa frequentemente Internet ed è presente su ogni tipo di piattaforma social e online, dove condivide, spesso senza saperlo, numerosi dati e informazioni su di sé. Vedere che un determinato utente ha un coniglio di nome Maxi, guida una Audi ed è tifosissimo del Barcellona, fornisce già agli hacker tre potenziali password da provare.
Quindi, per quanto molto semplici da ricordare, queste credenziali di accesso sono tutt’altro che sicure. Gli hacker hanno numerose possibilità di setacciare i vostri profili personali accessibili su Internet e reperire le informazioni necessarie a decodificare le password. Un altro consiglio di sicurezza è quindi di non creare password con riferimenti intrinsechi a voi stessi.
Il nostro quarto consiglio per creare password sicure consiste nell’utilizzo di un generatore di password. Perché anche applicandosi seriamente, è molto difficile elaborare in autonomia password forti. Noi umani tendiamo a ricadere sempre in determinati schemi e pertanto diventiamo prevedibili.
Il generatore di password risolve questo problema, poiché segue direttive e indicazioni specifiche di elaborazione ma opera su base casuale. Qui non vi sono schemi: il generatore crea password lunghe e complesse in maniera totalmente automatica.
Questo consiglio è particolarmente importante per la sicurezza. L’utilizzo del medesimo codice per più accessi semplificherà la vita ai malintenzionati: una volta decifrata la password, essi potranno violare tutti gli account in un colpo solo. E le conseguenze possono essere gravi, in particolare per le piattaforme di pagamento o i conti bancari. Per andare sempre sul sicuro impostate quindi una password specifica per ogni account.
«Oltre l’80% delle violazioni di sicurezza causate dagli hacker è riconducibile a password deboli o rubate»
Chi utilizza una password diversa per ogni account saprà che è impossibile ricordare tutto a memoria. Ed è qui che entra in gioco il password manager, ovverosia un programma che si installa sul proprio dispositivo per archiviare e gestire le proprie credenziali di accesso. I dati vengono ulteriormente protetti da una cosiddetta master password: in questo modo potremo creare una password sicura per ciascun account e piattaforma senza la preoccupazione di doverle memorizzare tutte.
Né dovrete preoccuparvi in alcun modo della sicurezza dei vostri dati, che saranno archiviati e codificati nel password manager. Questo significa che essi sono presenti localmente solo sui dispositivi in cui è installato il programma.
Creare una password sicura non è l’unica cosa che potete fare per proteggere i vostri dati: esiste infatti anche l’autenticazione a due fattori. Come suggerisce la definizione stessa, la procedura standard di login, che prevede l’inserimento di nome utente e password, viene integrata da un ulteriore fattore, trasmesso alla piattaforma tramite app o direttamente all’utente via SMS. Il login si perfeziona soltanto dopo l’immissione corretta di entrambi i fattori.
L’autenticazione a due fattori aumenta nettamente la sicurezza della procedura di accesso, in quanto non più collegata soltanto a un semplice set di dati, bensì anche a un terminale fisico, nella maggior parte dei casi uno smartphone.
La probabilità che gli hacker siano in grado di sottrarvi entrambi i fattori, cioè set di dati e terminale, è molto ridotta.
È consigliabile ricreare una nuova password sicura ogni tre-sei mesi, ma anche senza attendere questi intervalli di tempo, se notate irregolarità o attività insolite nel vostro account.
Anche servirsi di una rete WLAN pubblica e quindi non sicura aumenta il pericolo di sottrazione delle informazioni presenti sul terminale impiegato. Negli ultimi tempi si registra inoltre un incremento degli episodi di fughe di dati su grandi piattaforme come comparis.ch o LinkedIn. Un altro consiglio di sicurezza è quindi di modificare regolarmente la password.
Katrin Sprenger, CEO di Silenccio ed esperta di rischi cibernetici risponde alle domande principali sulla sicurezza delle password.
Spesso per la definizione di una password vi sono regole ben precise. Ma in questo modo gli hacker non hanno vita più facile?
No, poiché tali regole costituiscono soltanto delle condizioni quadro e, in linea di principio, sono concepite per rendere le password più sicure. Anche se in un primo momento tali indicazioni appaiono macchinose, il loro fine ultimo è quello di accrescere la sicurezza.
Il fatto che per l’e-banking sia necessaria una password forte mi sembra evidente. Ma per ogni negozio online è davvero necessaria una password distinta?
Se in vari siti si utilizza sempre lo stesso username, ad esempio l’indirizzo e-mail, è opportuno fissare password diverse per ognuno di essi. Motivo: se un hacker riesce a violare la sicurezza di un negozio online, si trova le porte aperte per tutti gli altri siti per i quali viene impiegata la stessa combinazione. Il rischio di danni consequenziali aumenta quindi nettamente.
La master password per il programma di gestione di tutti i codici deve essere ancora più sicura?
Per creare una master password sicura valgono le stesse regole e i medesimi consigli forniti per le password tradizionali, tranne il fatto che questa deve essere assolutamente annotata o ricordata. Se si dimentica una master password, nel peggiore dei casi i dati di accesso salvati non saranno più accessibili. Ciò significa che gli accessi agli account gestiti attraverso il password manager dovranno essere ripristinati in modalità manuale e poi reimpostati. Al fine di accrescere ulteriormente il grado di sicurezza, molti password manager consentono di impostare l’autenticazione a due fattori.
Come operano i cybercriminali per «craccare» una password?
Una password viene craccata quando si cerca di indovinarla attraverso un processo «trial and error». Se una password è costituita ad esempio soltanto da una singola cifra compresa tra 0 e 9, sono sufficienti pochi tentativi per scoprirla.
Con l’aumento della complessità (attraverso la combinazione di lettere maiuscole e minuscole, cifre e caratteri speciali) cresce anche il numero di tentativi necessari con un sistema automatico di «trial and error» per indovinare la sequenza giusta.
È necessario utilizzare il maggior numero possibile di caratteri speciali per creare una password sicura?
Non necessariamente: in ultima analisi la migliore indicazione per creare una password sicura consiste nell’abbinare lunghezza e combinazione fra diversi caratteri, ma non per forza questi devono essere speciali.