
Cybersecurity: Come gestire le password
10 Febbraio 2022
Cybersecurity chiama pippo
Molti di voi avranno presente il fuori onda che girava in rete qualche mese fa in cui un telecronista di Tokyo 2020 chiedeva quale fosse la password di accesso alla postazione. Probabilmente tanti si sono anche immedesimati in lui per la difficoltà di ricordare le password che utilizziamo quotidianamente. Ai consulenti privacy, tecnici IT ed esperti di cybersecurity, però, si è gelato il sangue alle parole “ma chiamarla Pippo era troppo difficile?”…
Purtroppo, non è un caso isolato. L’episodio fotografa la situazione reale che riguarda tutti gli utilizzatori di strumenti informatici che richiedono credenziali di accesso, a partire dai privati sino ad arrivare alle aziende, enti pubblici e governativi…. Insomma, l’impatto è su scala globale!
Continuano ad essere trovate nel dark web liste di password violate e messe in vendita a poche decine di euro. Quello che più sorprende è la banalità con cui sono composte: nella top ten mondiale troviamo ripetizioni in sequenza di numeri (123456 è al primo posto dal 2013!!) oppure di lettere come la qwerty (ovverosia la sequenza letterale delle prime sei lettere della tastiera). Capite bene che per i malintenzionati diventa un gioco da ragazzi violare account ed entrare nella vita altrui. Non è inquietante?
Perché è importante avere password sicure?
Ovviamente perché sono il primo baluardo a difesa dei nostri dati personali, dei referti medici, dei conti correnti, dei social network, più genericamente delle nostre informazioni che archiviamo nel mondo digitale. Materiale riservato e prezioso che sempre più viene usato come merce per profitti illeciti. Che sia di privati cittadini o aziende non fa differenza, tutto è buono per guadagnarci qualcosa!
Il problema è che mentre noi siamo rimasti fossilizzati sulla data di nascita o sul nome del cane, gli algoritmi utilizzati per decifrare le password hanno raggiunto livelli di calcolo altissimi che permettono di individuarle in tempi brevissimi. Se poi non ci riuscissero, potremmo essere noi a fornire un aiutino, cadendo nella trappola del phishing o del social engineering, che induce la vittima a comunicare i codici di accesso attraverso siti o portali contraffatti.
Le indicazioni di cybersecurity per la creazione di password sicure
Da una parte abbiamo il Garante che, su indicazione delle misure di sicurezza previste nel Codice Privacy, ci ricorda come dovrebbero essere impostate:
– lunghezza di almeno 8 caratteri;
– uso di minuscole, maiuscole, numeri e caratteri speciali;
– nessun riferimento personale (dati anagrafici, ricorrenze, anniversari…);
– cambio frequente;
– nessuna condivisione o memorizzazione non sicura
Di diverso avviso è invece il NIST (National Institute of Standards and Technology), autorevole agenzia governativa statunitense, che ha rilasciato delle linee guida in cui rivede sostanzialmente quanto indicato dal Garante (che tra l’altro si rifà proprio alle indicazioni del NIST del 2003).
Il documento della serie NIST SP-800 è infatti improntato più sul buon senso e sulla praticità d’uso, sostenendo che obbligare l’utente a modificare sistematicamente le password, lo porta a crearne di semplici da ricordare, e quindi facili da violare, e a riutilizzare quelle già usate in precedenza.
Inoltre, le credenziali andrebbero cambiate solo se vi è il sospetto o l’evidenza di una compromissione altrimenti non è necessario al fine della loro inviolabilità. Di solito, infatti, le credenziali sottratte vengono sfruttate dai cyber criminali non appena vengono compromesse.
Il cambio di rotta che troviamo in questo aggiornamento adotta un approccio più pragmatico, indicando che:
• la lunghezza dovrebbe essere compresa tra 8 e 64 caratteri, puntando più sulla complessità che sul cambio frequente;
• non dovrebbero essere imposte “regole di composizione” poiché la combinazione statisticamente più utilizzata dagli utenti è la lettera maiuscola all’inizio, numeri e caratteri speciali in fondo;
• è inutile impostare le c.d. domande di sicurezza poiché sono di solito troppo semplici da indovinare (es. Il nome del tuo primo animale domestico? Oppure il cognome da nubile di tua madre?). Basta usare un po’ di social engineering ed il gioco è fatto;
• consentire di utilizzare la funzione incolla al momento dell’inserimento della password per facilitare la scelta di password forti e complesse.
L’utente non può inserire una password lunga o difficile alla cieca, perciò, finirà per optare per una password facile da digitare.
Esistono strumenti che ci vengono in aiuto?
Certamente sì, come evolvono le tecnologie utilizzate dagli hacker si sviluppano anche strumenti che ne contrastano l’attività.
Basta digitare sul web “generatori di password” per veder comparire un lungo elenco di estensioni o applicazioni in grado di generare automaticamente password complesse e casuali che non dovrete più ricordare. Il sistema compilerà i campi con un click riconoscendo l’account a cui state accedendo.
Adesso anche se siete pigri e smemorati non avete più scuse, finito di leggere l’articolo correte a cambiare i vostri accessi che non voglio sentire ancora Pippo, Pluto e Paperino.
- Stefano Carlesso -