Molto spesso la creazione di una password, oppure l’operazione di cambiamento di una preesistente, è considerata una vera e propria seccatura, non solo per gli infiniti criteri da seguire e gli errori che ne derivano, quanto per la necessità di dover memorizzare una nuova stringa alfanumerica.
Nel corso di questo articolo si evidenzieranno alcuni consigli utili per creare password a prova di hacker, oltre a suggerimenti preziosi per testarne l’effettiva validità, ed infine verrà presentato un approfondimento riguardo le tecniche più comuni adottate dagli attaccanti per rubare la password.
Indice degli argomenti:
- Cosa è (in realtà) una password?
- Come creare una password sicura?
- Come fanno gli hacker a violare la mia password?
Cosa è (in realtà) una password?
Una password è la sottile barriera che separa i nostri dati da attori malevoli intenzionati a rivendere le nostre informazioni sensibili, usufruire del servizio impersonando la vittima o compiere altre operazioni malevole.
Essa rappresenta dunque la garante della nostra identità online nei confronti di un determinato servizio.
Come creare una password sicura?
È innanzitutto fondamentale sottolineare che la sicurezza della password è importante ma non è sufficiente se l’applicativo stesso non è stato inoltre protetto nei confronti di attacchi che permettano di ottenere informazioni o impersonare utenti tramite vulnerabilità tecniche.
In caso queste condizioni siano verificate, è importante che:
- L’utente adotti per ogni servizio una password diversa in modo da evitare che, in caso di rilascio di informazioni o account bucati, un attaccante non abbia la possibilità di accedere indistintamente a tutti i servizi della vittima;
- L’utente soddisfi sempre le condizioni di sicurezza della password scegliendone una avente lunghezza minima di 12 caratteri, con caratteri speciali: lettere maiuscole e minuscole, almeno un numero e un simbolo speciale;
- Le password non vengano salvate in chiaro sul proprio desktop o scritte in posti facilmente accessibili da altre persone;
- Non vengano adottate password contenenti parole singole, nomi legati alla persona che crea la password, date di nascita o pin facilmente indovinabili.
Generalmente, il consiglio che gli esperti di sicurezza danno è quello di creare le password sottoforma di passphrase avendo queste il vantaggio di essere lunghe, spesso complesse, e facilmente memorizzabili.
Per verificare che la password creata sia effettivamente sicura è possibile sfruttare uno dei molti “password checker” online che, data la password, eseguono diversi controlli restituendo feedback all’utente, come ad esempio https://howsecureismypassword.net.
Come fanno gli hacker a violare la mia password?
Le tecniche adottate dagli hacker per rubare le password, e quindi le relative identità, sono molte e differenti ed è perciò importante comprenderle per potersi difendere prontamente.
Alcune delle tecniche più comuni sono:
- Social engineering: la vittima è tratta in inganno tramite siti-clone uguali a quelli reali, mail fittizie e spoofing che portano ad esporre la propria password agli attaccanti;
- MiTM: il sito web a cui ci si autentica non adotta certificati TLS e perciò il traffico può essere intercettato in chiaro da qualcuno collegato alla nostra stessa rete WiFi;
- Attacchi bruteforce: l’attaccante prova un elevato numero di combinazioni finchè non trova la password della vittima;
- Attacchi dizionario: l’attaccante combina parole comuni e combinazioni comuni (come “qwerty” o “test”) per formare la password e tentare di accedere al vostro account;
- Violazioni precedenti: se avete adottato la medesima password su più piattaforme e una di queste è rimasta coinvolta in un data breach con rilascio di informazioni, l’attaccante potrebbe tentare di recuperare l’associazione tra la vostra mail o username e la password per autenticarsi su altri servizi utilizzati;
- Person tracking: tramite l’ausilio dei social network nei quali si espongono spesso informazioni personali, l’hacker cerca di trovare combinazioni conformi ai vostri interessi o ai nomi di luoghi che avete visitato, di persone che conoscete o di ideali che perseguite (come avvenne per la password dell’account Twitter di Trump).
Conclusioni
Creare password sicure e aggiornarle periodicamente sono alcuni dei migliori consigli che permettono di proteggere i vostri dati, soldi e la vostra identità contro attori malevoli che potrebbero rilasciare informazioni sensibili o semplicemente appropiarsi dei vostri beni. Come sempre, l’ecosistema che c’è dietro ad ogni servizio è articolato e così la sicurezza dei vostri dati: per tale motivo è necessario assumere un comportamento incentrato sulla sicurezza, in modo da prevenire qualsiasi attacco e, nel caso in cui il leak non dipenda da noi, limitare ed arginare il danno subito.