Le password, solo se usate correttamente, diventano un metodo efficace per proteggere i propri dati. Tuttavia, la maggior parte degli utenti le utilizza in maniera inadeguata, esponendosi a rischi informatici. L’errore più comune è quello di non prendere in considerazione le modalità di pensiero e le tecniche con cui i criminali informatici perpetrano i loro attacchi. Conoscere questi elementi invece, ci permette di trarre nozioni di sicurezza informatica, utili per capire quali siano i metodi di difesa più efficaci e come proteggere al meglio i propri dati. Questo articolo quindi, insegnerà come difendersi dagli attacchi informatici, impostando password complesse e sicure.

Innanzi tutto, bisogna tenere sempre presente che anche gli hacker sono al corrente di quali siano le password più comuni o i suggerimenti forniti per la creazione di password sicure. Questo, agevola i loro attacchi informatici, proprio perché oltre a tecniche di aggressione potenti, conoscono anche le strutture più comunemente usate.
Inoltre, l’estrema facilità con cui è possibile reperire informazioni personali e dati sensibili online e sui vari Social Network, rende vulnerabile l’utilizzo di password che contengono informazioni personali. Per i criminali informatici, infatti, oggi è estremamente semplice impossessarsi di informazioni sensibili da utilizzare nel tentativo di violare un account e hackerare una password.

Da queste prime riflessioni, quindi è consigliabile:
Evitare password comuni (es. basate su sequenze di numeri o lettere come “123456” o “qwerty”);
Evitare di inserire dati personali come: nome proprio, di familiari o amici stretti; data di nascita propria o di familiari e amici; nome dei propri animali domestici; città o via in cui si vive. In altre parole, è sconsigliato usare come password tutto quello che potrebbe essere facilmente reperibile con una breve ricerca online.

Alcuni metodi comuni di Password Cracking

Lo scopo dei criminali informatici è quello di accedere a dati protetti da password, tramite una serie continuativa e sistematica di tentativi di inserimento di caratteri, solitamente in modo automatizzato. Come detto precedentemente, uno dei modi più semplici e diffusi per violare un account, è quello di provare le password più comuni, unendo ad esse anche elementi più “personali”, con informazioni ricavate da ricerche online.

Esistono diverse tipologie di cyber attacchi, che si servono di tecniche specifiche. Conoscere queste tecniche ed il modo in cui agiscono, permette di capire meglio come impostare le proprie password rendendole sicure. Di seguito, saranno descritti alcuni dei cyber attacchi più diffusi, accompagnati da riflessioni sulle password.

Dictionary Attack

Questi attacchi si basano sull’utilizzo di una lista di parole, che vengono provate tutte, nel tentativo di identificare quella usata come password. Potrebbe sembrare un metodo lungo e per niente pratico. Eppure, immaginiamo di utilizzare come wordlist l’intero dizionario inglese, composto da 120.000 parole: un computer può testarne più di 1.000 al secondo. Questo significa, che se avete scelto una parola a caso dal dizionario, non importa quanto questa sia complessa, entro 2 minuti il computer dell’attaccante l’avrà individuata.

– Si raccomanda quindi di evitare l’utilizzo di password composte da singole parole o comunque formate da parole comuni che possano facilmente essere aggiunte alla wordlist.

Hybrid Attack

Simile all’attacco descritto in precedenza, questa tecnica aggiunge anche numeri e caratteri speciali alla lista di parole. Prendiamo come esempio una password con una parola seguita da 4 cifre. (4 cifre = 9.999 possibili combinazioni). Il che significa che, questa password, può essere individuata in circa 34 ore.

Combinare più cifre, da inserire in diversi punti della password, può essere un buon metodo per renderla più complessa.

Mask Attack

Questo attacco si basa sulle premesse dell’Hybrid Attack, aggiungendo elementi ricavati da alcune presupposti. Poniamo che un sito richieda come password l’utilizzo di almeno 8 caratteri con: lettere maiuscole, lettere minuscole, numeri, caratteri speciali. Questa è un’informazione reperibile facilmente anche da un criminale informatico, che potrà quindi fare alcune assunzioni basate sull’utilizzo comune delle password: la lettera maiuscola viene solitamente messa per prima, poi a seguire le lettere minuscole, infine due/tre numeri e poi un carattere speciale (che solitamente rientra tra quelli più usati anche nella lingua scritta, come “!” e “?”). Queste assunzioni permetteranno all’attaccante di impostare una mask che tenga conto di questi elementi, in modo da basare i tentativi di cracking su questo schema logico.

– Si consiglia quindi di combinare lettere minuscole e maiuscole, numeri e caratteri speciali, in maniera casuale, senza rispettare gli “schemi comuni” e di scegliere caratteri speciali di utilizzo meno frequente (es. [,£,]).

Brute Force Test

Questo attacco si basa sulla semplice prova di ogni possibile combinazione di caratteri, fino a trovare quella corretta. È un attacco particolarmente efficace per password corte, anche se composte da caratteri scelti in maniera casuale. Questo significa che più la password è lunga, più sarà lungo anche il processo di crack. Facciamo qualche esempio. Una password di soli caratteri minuscoli, composta da 5 lettere verrà individuata in 12 secondi; da 7 in 2:30 ore; da 9 in 2 mesi. Ma se al posto dei soli caratteri minuscoli, calcoliamo tutti i possibili caratteri, le tempistiche cambieranno: se sarà composta da 5 caratteri verrà individuata in 2:15 ore; da 7 in due anni; da 9 in 20 millenni.

– La struttura di questo attacco ci permette di comprendere la necessità di utilizzare password lunghe (almeno 8 caratteri) e che contengano più caratteri possibili tra simboli speciali, maiuscole, minuscole, numeri. Attenzione: anche sostituire le lettere con i numeri (es. E con 3 o I con 1) non è una buona soluzione, perché ormai troppo diffusa.

Come proteggersi utilizzando password sicure

Alla luce delle riflessioni fatte finora, possiamo ragionevolmente affermare che se la password non si basa su pattern comuni o frasi strutturate, ed è lunga abbastanza, allora nessuno degli attacchi informatici sopra descritti potrà riuscire ad identificarla in breve tempo.

Tuttavia, conoscere come agiscono gli attaccanti non basta, spesso servono altri accorgimenti.
Ecco una lista di alcuni suggerimenti per creare password sicure, efficaci per la protezione dei propri dati:

– Usare password formate da passphrase, cioè composte da una serie di parole. Scegliere parole che non contengono informazioni personali o comunque difficilmente collegabili al proprio profilo. Non utilizzare password con dati personali o che siano riconducibili a tue passioni o interessi: per un cracker sarebbe estremamente semplice reperire informazioni online e sui Social Network, e poi tentare una serie di combinazioni basate su di esse.

– Non usare una sola password per più account: imposta password diverse per ogni log-in e per ogni differente dispositivo elettronico. Ricorda che siti differenti hanno differenti livelli di sicurezza, quindi per un cracker sarebbe semplice reperire la tua password dai siti più vulnerabili e poi provarla anche su altre piattaforme. Infatti, se un criminale informatico dovesse mai scoprire una password, per prima cosa proverebbe la stessa combinazione di username e password anche su altri siti tra quelli più comunemente utilizzati, servendosi di programmi che permettono di provare quelle stesse combinazioni su centinaia di piattaforme in pochi secondi.

– Utilizzare il più possibile l’autenticazione a due fattori. Questo tipo di accesso richiede l’utilizzo di due metodi differenti per confermare la propria identità, prima di utilizzare un servizio (es. password e otp inviato sul proprio numero di cellulare).

– Ricordarsi di cambiare la password ciclicamente, soprattutto se si ha il ragionevole sospetto che quel determinato account possa essere stato compromesso.

Come gestire le password in sicurezza

Ecco, alcuni accorgimenti sulla gestione delle proprie password per tenerle al sicuro:
– Non scrivere mai le credenziali di accesso su sito a cui sei arrivato tramite link da un’email. Questo è uno dei metodi più diffusi di scam delle password, il phishing.
– Non mandare mai le tue password tramite e-mail.
– Stai attento quando utilizzi Wi-Fi pubblici e non usare queste connessioni per effettuare log-in.
– Controlla che accanto all’ http:// del sito in cui stai per fare il log-in, ci sia un lucchetto. Questo simbolo indica che il sito è sicuro.
– Assicurati che l’indirizzo di posta su cui ti arrivano i messaggi per i reset delle password siano sicuri e protetti (in caso contrario, se un cracker ha accesso alla tua mail, può fingere di aver “dimenticato la password” del tuo account e resettarla).
– Non scrivere le password su pezzi di carta, soprattutto se sono leggibili da chiunque abbia accesso alla tua scrivania.
– Non devi ricordare a memoria tutte le password create. Memorizzarle non è necessario, anche perché sarebbe un processo estremamente complesso, visto che devono essere composte da combinazioni “casuali” di caratteri. Quindi, dove salvare le password? Il consiglio è di usare un gestore di password, uno dei così detti software Password Manager. Si tratta di applicazioni su cui memorizzare password e informazioni personali, che facilitano la gestione dei propri dati.

Gestione delle Password – Password Manager

Ad oggi, è praticamente impossibile avere password efficaci, uniche per ogni account, e ricordarle tutte. Tuttavia, esistono tools che possono aiutare a gestirle, cioè programmi per conservare le password e i dati personali. Le applicazioni password manager, permettono di memorizzare una lista di siti, di cui segnare i relativi username e password. Inoltre, permettono di segnare anche appunti e dati personali (come i codici della propria carta di credito o dei propri documenti).  Questi tools operano criptando le informazioni inserite, con algoritmi complessi e praticamente impossibili da decifrare. Per accedere alla lista di informazioni e decriptarle, sarà necessario scrivere username e password: dovrai quindi ricordare UNA SOLA password per poter accedere al sistema, ma non avrai necessità di memorizzare tutte le altre, dato che l’applicazione le gestirà al posto tuo.

Alcuni di questi programmi sono anche dotati di ulteriori accorgimenti che permettono di aumentare i livelli della propria difesa. Per esempio, alcuni eseguono un’analisi della sicurezza dell’intera lista di password, informando l’utente su quali sono quelle maggiormente deboli o troppo vecchie. Alcuni, monitorano addirittura le credenziali rubate e le notizie che vengono diffuse sul darkweb, avvisando l’utente nel caso in cui il suo account sia stato coinvolto in un attacco informatico.

Ci sono due tipologie di password manager, ognuna con differenti vantaggi e svantaggi:
1. Local Password Manager;
2. Online Password Manager.

Local Password Manager

Sono probabilmente i più sicuri, perché installati sui propri dispositivi elettronici. Per un criminale informatico, arrivare alle password, significherebbe poter avere accesso al dispositivo fisico su cui sono memorizzate.
Tuttavia, tra i contro di questi tools, c’è l’impossibilità di accedere alla pagina su cui sono salvati dati, a meno che non si abbia con sé il dispositivo su cui è installata l’applicazione.

Online Password Manager

Sono servizi che operano criptando i dati e memorizzandoli su un server remoto, inviandoli poi all’utente quando li richiede. Il pro, è che si può accedere a questi servizi da qualsiasi device. Il contro, è che anche un hacker professionista può farlo, sfruttando le vulnerabilità della sicurezza nel momento in cui la password viene inoltrata dal server all’utente.
Tuttavia, questi tools rimangono tutt’oggi una valida alternativa.

L’utilizzo di questi programmi per conservare le password, è quindi altamente consigliato. Esistono diverse opzioni, gratis e a pagamento, caratterizzate da diverse funzioni estremamente utili a seconda delle esigenze. Tra questi, uno dei migliori Password Manager, tra i più utilizzati e sicuri è PassKeeper.

Ecco infine, una lista di consigli per l’utilizzo corretto ed efficace dei programmi Password Manager:
– Per garantire una reale efficienza e sicurezza, si consiglia di impostare su questi programmi l’autenticazione a due fattori;
– È altamente sconsigliato abilitare plug-in che permettono l’inserimento automatico di username e password nelle pagine di log-in dei siti. Infatti, questi plug-in rendono più vulnerabile l’applicazione, esponendola a bug;
– Infine, tutti questi programmi, sarebbero ancora più efficaci e sicuri se utilizzati da una partizione criptata.

Alla luce delle analisi e delle riflessioni riportate in questo articolo, adesso prova a chiederti: quanto è sicura la tua password?