Come creare una password sicura. Una guida semplice

Le password sono una parte onnipresente della nostra vita digitale, mantenendo tutto, dai nostri account sui social media fino ai nostri dettagli bancari online al sicuro dai criminali informatici.


Ma quanto è efficace la tua password per proteggere te e i tuoi preziosi dettagli?

Il semplice fatto è che la password media di otto caratteri, anche quelli contenenti lettere maiuscole e minuscole, numeri e simboli, possono essere decifrati in meno di sei ore con la giusta configurazione hardware.

Un recente studio condotto dalla società di sicurezza informatica BitDefender ha rivelato che circa il 75% delle persone utilizza la stessa password su quasi tutti i propri account. Una volta che la password è stata decifrata, i criminali ora hanno accesso a tutti gli aspetti del tuo mondo digitale. Circa il tempo in cui iniziamo a proteggere meglio le nostre informazioni personali. Di seguito puoi imparare tutto sulle password, incluso come crearle che ti proteggeranno effettivamente!

Come ti proteggi?

Bene, il primo passo è agire per rafforzare la sicurezza della password. L’impianto hardware utilizzato per decifrare le password in sei ore prevedeva un costoso cluster di 25 unità di elaborazione grafica (GPU) in grado di provare 350 miliardi di ipotesi di password al secondo.

È molto improbabile che il tuo criminale informatico medio porti quel livello di raffinatezza nei loro tentativi di decifrare le tue password. Invece, cercheranno di sfruttare password singole parole facilmente indovinabili. Un’altra tattica sta semplicemente cercando di indurti a rivelare la tua password.

Un buon modo per ricordare la sicurezza di base delle password è che le password sono come le tue mutande. Dovresti cambiarli su base regolare, non dovresti condividerli e non dovresti lasciarli in giro perché il pubblico li veda.

Potrebbe sembrare davvero ovvio, ma rimarrai sorpreso da quante persone non seguono nemmeno quelle regole di base (per le loro password, non facciamo commenti sulle loro abitudini di biancheria intima). La mancanza di impegno da parte della maggior parte delle persone nel creare una password sicura ha portato Microsoft nel 2016 ad adottare misure per inserire nella lista nera le password più ovvie, come “password”, “dio” e “ospite”, nel tentativo di salvare le persone da se stesse.

Ricorda, per il 75% delle persone, se usano la “password” per la loro e-mail, probabilmente la usano per il loro account Facebook, il loro LinkedIn, le loro reti private virtuali (VPN) e una miriade di altre cose che la maggior parte di noi non fa ‘ voglio che uno sconosciuto si guardi intorno.

Quindi, come si crea una password sicura? In questo articolo, esamineremo come i criminali informatici si comportano nel decifrare la tua password e cosa puoi fare per rendere il loro lavoro il più difficile possibile. Esploreremo come generare una password sicura e come ricordarla senza scriverla da nessuna parte.

Come viene violata una password?

PirataQuesta potrebbe essere una pillola amara da ingoiare, ma la maggior parte di noi non è abbastanza importante per gli hacker per investire una notevole quantità di tempo e sforzi in quando si tratta di decifrare le nostre password personali. È dubbio che qualsiasi criminale informatico investirà migliaia di dollari nella costruzione dell’attrezzatura necessaria per decifrare una password ben costruita senza sapere che ci sarà un ritorno sull’investimento.

Ma ciò non significa che tu sia al sicuro!

Gli hacker hanno una serie di metodi collaudati, a basso sforzo, per ottenere la tua password senza un investimento significativo. Queste tecniche si basano sul riutilizzo delle password da parte di persone, l’utilizzo di password brevi e non sicure e il mancato rispetto dei principi di base della sicurezza di Internet. Diamo un’occhiata ad alcune delle più comuni tecniche di cracking delle password e come proteggerle.

Acquistare le password

L’acquisto e la vendita di password attraverso la rete oscura è un’attività piuttosto redditizia per i criminali informatici. Di solito inizia con un gruppo che si fa strada attraverso la sicurezza di un sito Web o di un’organizzazione e accede ai dettagli di accesso dei propri clienti. Nel 2016, i dettagli di 117 milioni di utenti di LinkedIn sono stati messi in vendita dagli hacker e violazioni simili hanno visto i dettagli degli utenti di Twitter, Facebook e persino il gigante della tecnologia Sony, apparire sul web.

Ovviamente, non c’è molto che puoi fare su un sito Web che usi per essere hackerato, ma puoi prendere provvedimenti per ridurre al minimo le conseguenze. Generalmente, sarai informato abbastanza rapidamente della violazione della sicurezza e sarai in grado di cambiare la tua password per quel sito. Se hai fatto la cosa ragionevole e non hai riutilizzato le password, il problema è risolto.

Se sei uno del 75% delle persone che BitDefender ha trovato utilizzando password condivise, dovrai iniziare il lungo e doloroso processo di modifica di ciascuna delle tue password e sperando che gli hacker non arrivino a qualcosa di vitale prima hai avuto la possibilità.

Brute Force Attack

Un attacco di forza bruta utilizza un computer, o più spesso gruppi di computer, per provare sistematicamente gruppi di numeri, lettere e simboli nel tentativo di indovinare la password. Mentre ci sono rig là fuori che sono molto efficaci nel fare questo, è più probabile che gli hacker stiano semplicemente usando un desktop standard con software automatizzato per colpire persone che pensano ancora che “dio” o “1234” siano abbastanza buone password.

Qualsiasi password di lunghezza inferiore a 9-12 caratteri è vulnerabile a essere violata da un attacco di forza bruta, quindi se si desidera rendere la password il più sicura possibile, la lunghezza è la chiave.

Dizionario Attack

Un attacco di dizionario è molto simile a un attacco di forza bruta, tranne per il fatto che invece di utilizzare una combinazione casuale di simboli, il software automatizzato usa parole di uso comune come ipotesi. Il “dizionario” utilizzato dal software può variare in complessità da un dizionario inglese standard a uno che include citazioni di film, elenchi di password di uso comune o persino informazioni personali raccolte su di te dai propri account sui social media.

Gli attacchi a dizionario tendono ad essere più efficaci della forzatura brutale di una password per la semplice ragione che agli umani piacciono i modelli. Tendiamo a personalizzare le nostre password in modo che siano facili da ricordare. Una selezione casuale di parole, numeri, simboli, con modifiche casuali nel caso, renderà quasi impossibile per un attacco del dizionario indovinare correttamente la tua password.

Phishing

Phishing Fishhook con passwordInvece di provare a indovinare la tua password, i criminali informatici potrebbero utilizzare una tecnica chiamata “phishing” che utilizza la manipolazione sociale per indurti a rinunciare alla password e ai dettagli di accesso liberamente.

Questa tecnica generalmente coinvolge gli hacker che fingono di essere un fornitore di servizi, spesso una banca o una società di carte di credito, e di contattarti telefonicamente o via email. Ti informeranno che è successo qualcosa di ampiamente positivo o negativo sul tuo conto, come il tuo denaro rubato o che ti è dovuto un rimborso sostanziale. Ti chiedono quindi di accedere utilizzando un link fornito in un’e-mail o di fornire informazioni di sicurezza al telefono prima di poter procedere.

Mentre siamo tutti consapevoli delle goffe truffe via e-mail del “Principe nigeriano”, il semplice fatto è che il phishing è diventato un modo sofisticato ed efficace per ottenere i dettagli personali delle persone. Le comunicazioni dei criminali informatici sono diventate sufficientemente avanzate da essere spesso indistinguibili dalla realtà.

Il modo migliore per proteggersi dalle truffe di phishing è essere vigili e scettici. Se ricevi una telefonata sospetta, offri di ricambiare il numero abituale che usi per contattare tale organizzazione. Nessuna compagnia reale avrà problemi a richiamarli. Inoltre, non ti chiederanno la tua password, quindi ignora ed elimina qualsiasi email che ti chieda di seguire un link e poi accedi, non importa quanto sia ufficiale l’e-mail o la pagina web.

Come creare una password complessa

Ora che comprendiamo le tecniche utilizzate dai criminali informatici per decifrare o ottenere la tua password, ci sono dei passaggi che puoi intraprendere per creare una password resistente a tali metodi.

Rendi più lunga la tua password

La maggior parte degli attacchi di forza bruta si basa sul fatto che hai una password breve che non richiederebbe un computer, che esegue software automatizzato, un notevole periodo di tempo per decifrare. Più lunga è la tua password, meno è probabile che un attacco di forza bruta possa indovinarla con successo.

La maggior parte degli hacker non passerà molto tempo a cercare di indovinare una password, sono alla ricerca di frutta a basso carico e probabilmente passeranno se la tua password impiega troppo tempo a indovinare.

Renderlo più complesso

Più complessa è la tua password, meno è probabile che qualsiasi sistema automatizzato la indovini correttamente senza spendere una quantità eccessiva di tempo su di essa. Quando si crea una password, cospargerla liberamente con lettere maiuscole, lettere minuscole, numeri e simboli.

Cerca di rendere queste aggiunte il più casuali possibile. Sostituire semplicemente una “a” con una “@” o aggiungere un punto esclamativo alla fine della password è una tecnica comune che gli hacker prenderanno in considerazione quando tentano di accedere agli account.

Assicurati che sia unico

Probabilmente saresti felice di lasciare una chiave di riserva a casa tua con un amico fidato, ma probabilmente non corri in giro per la città distribuendone una ogni volta che acquisti qualcosa, giusto?

Bene, se stai usando la stessa password per ogni account online che possiedi, è quasi esattamente quello che stai facendo. Consegna efficacemente le chiavi digitali a tutto il tuo mondo online a chiunque indovini quella password. Accertarsi di disporre di una password univoca per ciascun account online potrebbe non essere conveniente, ma è molto più sicuro.

Se non sei convinto, prova a visitare il sito web Have I Been Pwned. Gestito dal ricercatore di sicurezza Troy Hunt, il sito Web cerca il tuo indirizzo e-mail tra un elenco di oltre 5 miliardi di account a cui è stata rubata o elencata la password online. C’è anche una funzione in cui è possibile controllare una password potenziale o esistente per vedere se è stata elencata online.

Modificalo regolarmente

Ricordi cosa abbiamo detto all’inizio di questo articolo? Le password sono come mutande, è necessario cambiarle regolarmente. Nessun sistema o password è completamente sicuro, quindi ci sono buone probabilità che ad un certo punto i dettagli di accesso per almeno uno dei tuoi account vengano rivelati online. Il modo migliore per garantire che i tuoi account rimangano sicuri è quello di cambiare le tue password su base regolare. Microsoft consiglia di modificare tutte le password dell’account ogni 72 giorni.

Diceware / passphrase

Mentre una stringa di parole, numeri e simboli generati casualmente potrebbe essere una password molto sicura, non è certamente facile da ricordare. Una selezione di parole sufficientemente casuale, d’altra parte, è molto più facile da ricordare per il cervello umano ed è altrettanto sicura.

Conosciuti come dadiware perché possono essere generati lanciando cinque dadi a sei facce su una tabella di parole casuali, usando una passphrase si ottiene una password abbastanza lunga da sventare un attacco di forza bruta e abbastanza sofisticata da fermare gli attacchi del dizionario.

Una passphrase di dadiware generata casualmente potrebbe assomigliare a questa:

gustybarracksupremeattractorunfunded

Se fai fatica a ricordare le passphrase generate casualmente, puoi usare una frase, una citazione o un testo della canzone ben noti e quindi sostituire una o più parole. Finendo con qualcosa del tipo:

Showmethepassivism o sayhellotomyoutboardoverlay

Le passphrase non casuali non sono sicure come quelle generate casualmente, ma anche la password più sicura non è di grande utilità se proprio non riesci a ricordarla. Per ulteriori informazioni su Diceware, tavoli di carta e un generatore di passphrase casuale, visita Dicewear.org.

Come registrare password in modo sicuro

Laptop Con PasswordÈ del tutto possibile per te essere in grado di ricordare una o due passphrase generate casualmente che cambiano su base regolare, ma quanti di noi hanno solo uno o due account? Un recente studio di Microsoft ha indicato che la persona media ha tra i dodici e i venticinque account online, mentre un rapporto della società di gestione delle password LastPass ha rilevato che l’impiegato aziendale medio ha 191 password per tenere traccia di.

Se scrivere quelle password, sia in formato digitale che su carta, è un grande no-no, allora come dovresti ricordare quel volume di parole casuali che cambiano regolarmente? Un’opzione è utilizzare un gestore password.

Gestori di password

I gestori di password creano un database master fortemente crittografato di tutte le password. Ciò ti consente di accedervi sul tuo computer o di portarli in giro con te su un’unità flash. Si accede al database con un’unica “password principale”.

I pro

Il vantaggio dell’utilizzo di un gestore di password è che ci vuole molto per garantire che il tuo mondo online rimanga sicuro. Il software di gestione delle password più aggiornato può essere impostato per aggiornare le password o le passphrase su base regolare. Questo ti fornisce un set di password veramente casuale senza che tu debba generarle tu stesso.

I contro

I gestori di password non sono però senza il loro svantaggio. Mentre la crittografia del database delle password rende praticamente impossibile entrare, ciò non significa che sia completamente sicuro. L’apertura del database su un computer infetto da malware, ad esempio, potrebbe significare che l’elenco delle password è vulnerabile, quindi è importante utilizzarlo solo su sistemi di cui ti fidi.

La maggior parte dei programmi di gestione delle password non mantiene un backup online del file delle password per motivi di sicurezza. Ciò significa che se perdi o elimini la tua copia, perderai l’accesso ai tuoi account, quindi è meglio mantenere un backup sicuro in un luogo sicuro.

Poiché il database delle password ha una password principale che ti consente di accedere, è estremamente importante che sia sicuro e modificato regolarmente. Se dimentichi la password, verrai bloccato definitivamente dal tuo database.

Pensieri finali

Come puoi sicuramente vedere dai sondaggi e dalle ricerche che abbiamo citato in questo articolo, la maggior parte delle persone non prende le misure necessarie per proteggere le proprie password. Nonostante la crescente minaccia del crimine informatico, le persone continuano a utilizzare password generiche brevi che sono facilmente identificabili dal software automatizzato.

Se tutto ciò che gli hacker finiscono per indovinare è la tua password Netflix, non è la fine del mondo. Tuttavia, come abbiamo accennato, circa tre quarti di noi sono felici di utilizzare la stessa password per Netflix che utilizziamo per i nostri account Paypal o Amazon, mettendo a rischio i nostri dettagli finanziari.

In un momento in cui Microsoft ha dovuto vietare la “password” come password per salvare le persone da se stesse, avere una password sicura mantiene il tuo mondo online molto più sicuro rispetto alla stragrande maggioranza delle altre persone. Ora che capiamo di più su come gli hacker eseguono il crack delle password, possiamo prendere delle misure per rendere il loro lavoro il più difficile possibile.

Una password adeguatamente protetta è più lunga dei tradizionali 8-12 caratteri, idealmente di 16 caratteri o più. Ciò rende estremamente lungo il tempo per gli attacchi di forza bruta per indovinare la tua password e molto più probabile che gli hacker passino a qualcuno con una password più breve.

Rendere la tua password complicata e casuale impedisce agli attacchi del dizionario di indovinarla. Persino il dizionario più completo non può rendere conto di una selezione davvero casuale di lettere, numeri, simboli e casi.

Se stai lottando per ricordare stringhe casuali di caratteri, una passphrase di Diceware da cinque a otto parole potrebbe essere più il tuo stile. Puoi generare casualmente una o semplicemente inserire parole casuali in frasi o citazioni note per aiutarti a ricordarlo.

Se sei preoccupato per il semplice numero di password o passphrase che devi ricordare, potrebbe valere la pena investire in un gestore di password. Fanno molta fatica a rimanere al sicuro online fornendo un database centrale sicuro di tutte le password. Basta non dimenticare o eliminare la password principale o trascorrerai un pomeriggio noioso a ripristinare tutti i tuoi account.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me