Magazine

Come creare una password sicura e facile da ricordare

04/10/2022
Come creare una password sicura e facile da ricordare
PMIPrivatiProfessionisti
Il 7 maggio di ogni anno, in occasione della Giornata Mondiale della Password, aziende e istituzioni ricordano a dipendenti e utenti quanto sia importante fare ricorso a parole chiave di accesso forti e inattaccabili.

Nei tempi di sovrabbondanza informativa e di servizi digitali in cui stiamo vivendo, la raccomandazione è quanto mai importante. E, secondo quando si apprende dalle analisi più recenti, è anche frequentemente inascoltata.

Tanto per avere un’idea della situazione, a detta di Google un quarto di tutti gli utenti mondiali ha usato parole di accesso quali “password”, “123456”, “qwerty” per “proteggere” i propri account e più di una persona su tre non cambia mai le proprie parole-chiave.

Eppure, per garantire alla posta elettronica, ai siti di e-commerce, ai social network ai sistemi di Content Management, ai sistemi Cloud e via discorrendo, un livello di protezione accettabile non è poi così difficile. Quel che occorre è la giusta consapevolezza dell’importanza di questo aspetto della vita online e seguire alcune semplici regole. Alla domanda con quale frequenza cambiare la password la risposta è quasi sempre più spesso possibile, almeno ogni 3 massimo 6 mesi.

8 regole per creare una password forte

Alcuni dei principali requisiti per creare una keyword di accesso che garantisca una certa protezione:
  1. Non utilizzare numeri o lettere sequenziali.
  2. Non includere l'anno o il mese/giorno di nascita nella password.
  3. Utilizzate una combinazione di almeno otto lettere, numeri e simboli.
  4. Combinare diverse parole non correlate nella password o nella passphrase (l’insieme di parole o di stringhe alfanumeriche).
  5. Non utilizzare nomi o parole presenti prese dalla vita privata (indirizzi, nomi di familiari, hobby, eccetera).
  6. Utilizzare un gestore di password per memorizzare le vostre password.
  7. Non riutilizzare le password.
  8. Cambiare le password ogni tre, sei mesi.

Come funziona l’autenticazione a due fattori

Uno dei metodi migliori per rafforzare la protezione degli account digitali è abilitare, nei sistemi che lo consentono, la cosiddetta autenticazione a due fattori (2FA).

Il suo principio di funzionamento è già descritto nella locuzione che lo contraddistingue e consiste nell’aggiungere un ulteriore livello di sicurezza agli account online mediante una credenziale di accesso aggiuntiva, oltre al nome utente e alla password.

Le principali tipologie di 2FA sono tre:
  • Credenziali di accesso aggiuntive che solo il titolare dell'account può conoscere. Si tratta di elementi come le risposte alle domande di sicurezza e i numeri PIN.
  • Dispositivi di proprietà del titolare del servizio che forniscono credenziali di accesso aggiuntive. In genere si tratta di token di sicurezza o di applicazioni per smartphone o per tablet.
  • Credenziali di accesso biometriche uniche per il titolare dell'account. Includono scansioni della retina e impronte digitali.

Che cosa si intende per attacchi Brute Force

L'attacco brute force, a forza bruta, è una tecnica di hacking che utilizza tentativi ed errori per decifrare password, credenziali di accesso e chiavi crittografiche. È una tattica semplice ma affidabile per ottenere l'accesso non autorizzato ad account individuali e a sistemi e reti aziendali.

In pratica, il malintenzionato effettua tentativi a ripetizione con con più nomi utente e password in un’ampia gamma di combinazioni, finché non trova le informazioni di accesso corrette.

Esistono vari tipi di metodi di attacco di questo tipo.
  • Attacchi brute force semplici: si verifica quando un hacker tenta di indovinare le credenziali di accesso di un utente manualmente, cioè senza utilizzare alcun software.
  • Attacchi a dizionario: qui l'aggressore seleziona un obiettivo, quindi testa le possibili password rispetto al nome utente di quell'individuo.
  • Attacchi ibridi di forza bruta: consistono nella combinazione tra i primi due metodi.
  • Attacchi a forza bruta inversa: l’aggressore inizia il processo con una password nota, che di solito viene scoperta attraverso una violazione della rete. Dopodiché, utilizza tale password per cercare una credenziale di accesso corrispondente utilizzando elenchi di milioni di nomi utente.
  • Credential stuffing: sfrutta la grande diffusioni di password deboli. In questo caso, l’hacker utilizza combinazioni di nomi utente e password rubate su una moltitudine di account.

Quali sono i pericoli del phishing

Attraverso questa tecnica che consiste nell’inviare mail contraffatte che invitano il destinatario a fornire i propri dati personali motivando le richieste, perlopiù con ragioni tecniche, possono essere compiute varie tipologie di frodi, alcune delle quali sono più dirette, altre più subdole.

La versione più comune e diffusa di questo genere di truffa consiste nell’aprire una mail falsificata nella quale viene richiesto di inviare i propri dati personali necessari a risolvere una qualche presunta problematica tecnica o di servizio, oppure che contiene un malware che si installa nel computer o nel device dello sventurato destinatario.

Abbastanza diffusa è anche la variante che prevede sempre l’invio di una mail modificata ma che non viene effettuato da un apparente azienda o istituzione, bensì da un account di posta conosciuto o presente nella propria rubrica dei contatti.

Un’ulteriore variante, il whaling o whale phishing, si caratterizza per le stesse dinamiche di funzionamento delle precedenti appena viste, con la differenza che il target è rappresentato da un soggetto che, all’interno dell’azienda, occupa un ruolo di vertice.


Newsletterbox