Circa un anno fa ebbi modo di leggere un interessante rapporto, prodotto dall’azienda di sicurezza SplashData, sullo studio delle password utilizzate dagli utenti internet. Contrariamente a quanto si possa credere, la scelta di una password “debole” è una delle principali cause delle violazione di dati, siamo infatti erroneamente portati a credere che la sicurezza delle infrastrutture informatiche dipenda da altri fattori di ben altre complessità. La scelta di una password debole equivale a lasciare le chiavi nella serratura del portone di una fortezza altrimenti inespugnabile, e gli hacker lo sanno bene.
Proprio la conoscenza delle password più utilizzate è alla base della creazione dei dizionari utilizzati in attacchi di tipo brute-force, in cui sono provate in maniera esaustiva tutte le possibili combinazioni di codici segreti. Il fattore umano rappresenta da sempre l’anello debole della catena di sicurezza, sempre più spesso clamorosi attacchi si scoprono possibili grazie a cattive abitudini delle vittime.
Discutendo sull’utilizzo scorretto delle password, consideriamo che la quasi totalità degli utenti utilizza password semplici da ricordare (e.g. Nome di familiari, informazioni personali), e cosa ancor più grave utilizza le medesime credenziali per accedere a più servizi in rete.
Quest’ultimo caso è molto frequente, un comportamento pericoloso da evitare, un hacker scoprendo la nostra password potrebbe avere accesso alla nostra esperienza digitale (e.g. Email, servizi web.)
Il documento cui facevo riferimento, 25 Worst Passwords of the Year, è in realtà uno studio condotto su base annua sulle password utilizzate dagli utenti e rese note a seguito di una violazione di dati, ho ritenuto quindi interessante condividere con voi qualche osservazione comparando i dati relativi alle password utilizzate nell’ultimo biennio.
Basta una rapida occhiata per rendersi conto della gravità del problema, proprio le password di una semplicità disarmante sono quelle più utilizzate degli utenti. Altra riflessione che va fatta è che i dati raccolti nel 2013 sono condizionati dalla presenza delle password trafugate in occasione della violazione dei server dell’azienda Adobe, avvenuta nell’Ottobre 2013, in cui furono esposti i dati di milioni di utenti.
La lista del 2013 include password come “adobe123” e “photoshop”, perché utilizzate dagli utenti delle piattaforme Adobe; altro errore comune è utilizzare password semplici da ricordare che includano il nome dell’applicazione cui consentono l’accesso (e.g. Facebook123).
Nel 2012 le tre “peggiori” password furono “password”, “123456” and “12345678”, quest’anno il termine “password” ha perso la vetta della classifica a vantaggio di “123456.”, ma voi realmente pensate che sia cambiato molto dalla prospettiva dell’attaccante? Davvero troppo facile indovinare le password di milioni di utenti, cosa ne pensate? Se la vostra password è inclusa nell’elenco correte a cambiarla!
Come scegliere una password robusta?
Di seguito qualche suggerimento utile per la scelta di password robuste:
- Utilizzare password con una lunghezza superiori ai 7 caratteri;
- Utilizzare password composte da caratteri maiuscoli, minuscoli, numeri e simboli (e.g. #, $, @);
- Utilizzare almeno un carattere minuscolo ed uno maiuscolo, almeno un numero e possibilmente caratteri speciali. In questo modo aumenteremo quello che in gergo si definisce lo “spazio delle chiavi”, ovvero le possibili password che l’utente può scegliere;
- Un suggerimento potrebbe essere quello di usare numeri in luogo di lettere, ad esempio cambiando la “i” in “1”, “E” in “3”, “A” in “4” (oppure in @), “S” in “5”, “G” in “6”, “O” in “0. Anche così aumenteremo lo spazio delle chiavi.
- Evitare l’uso di parole di senso compiuto usate comunemente, sono le prime parole a essere utilizzate dagli applicativi che basandosi su dizionari internazionali provano tutte le parole in essi inclusi;
- Evitare i nomi dei familiari, le date di nascita dei parenti più stretti, e qualunque termine che sia legato ad informazioni personali facilmente ottenibili da un attaccante;
- Mai usare password contenenti porzioni dell’ID utente o dell’indirizzo e-mail;
- Non utilizzare la stessa password per numerosi servizi on-line;
E ora che avete scelto una password robusta, non vi resta che proteggerla seguendo qualche semplice regola:
- Non condividere la propria password;
- Non trascrivere la password su di un foglio di carta, potrete far peggio solo lasciandolo in prossimità del vostro PC;
- Non digitare la password alla presenza di estranei;
- Non archiviare le password in un file presente sul vostro pc;
- Non memorizzare la password nel vostro browser;
- Cambiare periodicamente le password;
Pochi accorgimenti possono sensibilmente aumentare la sicurezza delle vostre password.
Facebook Comments