Spesso, in fase di registrazione a un sito o a un’applicazione, ci ritroviamo a fare i conti con la scelta della password. Si tratta di un momento complesso, in cui si cerca di trovare la combinazione giusta da ricordare ma, al contempo, capace di mettere i bastoni tra le ruote ai criminali del web. Altre volte, invece, si inseriscono parole semplici o serie di numeri estremamente elementari, con l'idea di “sistemarle” in futuro, operazione che poi viene rimandata regolarmente per mancanza di tempo o di volontà. Quando c’è di mezzo la privacy online non bisognerebbe mai sottovalutare l’importanza della sicurezza della password. Ecco perché è fondamentale mantenere alto il livello di protezione dei dati e come farlo in poche e semplici mosse.
Password, così gli hacker le individuano
Come fanno gli hacker a essere in possesso delle password? Esistono molteplici sistemi sfruttati per scoprire i vocaboli che consentono loro di accedere ai nostri account, da programmi che si adattano perfettamente alle caratteristiche richieste dai vari siti o applicazioni per la creazione della credenziale. Tra questi, i più noti sono denominati “brute force” (“forza bruta”), nei quali si generano automaticamente stringhe alfanumeriche sfruttando tutti i caratteri permessi accumulando una quantità di tentativi fino a trovare quella perfetta. Non mancano poi quelli “a dizionario”, ovvero che si basano su parole prese dal vocabolario, sia nella forma naturale o sostituendo le lettere con i numeri nel cosiddetto alfabeto leet.
Scambiare cifre con delle lettere non ci tiene al sicuro dai rischi: gli hacker conoscono questa abitudine e la sfruttano per ampliare i propri dizionari.
Ci sono poi gli attacchi look-up. Essi attingono da elenchi di password (anche nelle varianti “leet”) rubati nei data breech, cioè da precedenti intrusioni nei database andati a segno che, negli anni, fruttano corpose liste di credenziali che potrebbero essere state riutilizzate su siti differenti. Ultimi sono quelli alle chiavi API (acronimo di “Application Programming Interface”, “Interfaccia di programmazione delle applicazioni”). Diversi da gli altri prettamente legati alla parola chiave, provano a determinare delle particolari chiavi di accesso generate utilizzate per interfacciarsi con software o servizi ma che non vengono materialmente digitate nel login.
Come scegliere password sicure
È vero: la scelta della password, a parte alcuni vincoli che possono essere aggiunti dal fornitore dei servizi, è a discrezione dell’utente. Perciò effettuare una selezione valida è un compito che spetta al suo utilizzatore che, sovente, si lascia fuorviare da termini di uso comune (la famosa “password”), codici numerici (“12345678” è tra le più usate in assoluto) e ulteriori riferimenti individuabili da qualche malintenzionato del digitale. Abbiamo visto che, per poterne entrare in possesso, gli hacker fanno affidamento su veri dizionari, cercando attraverso una serie di tentativi il lemma che possa fornire la corretta combinazione insieme allo username. C’è però uno stratagemma che ci consente di usare vocaboli facili da ricordare ma difficili da intercettare da parte di occhi indiscreti.
Si chiamano pass-phrases, combinazioni di due-tre parole o più intervallate da caratteri speciali, una spina nel fianco anche per i criminali più abili.
Un esempio di pass-phrase si può fare con la parola “”password. Secondo il sito How Secure Is My Password, utilizzato per verificare la sicurezza della credenziale, il tempo impiegato da un computer per individuare l’informazione utilizzando tale termine talmente diffusa è pari a zero nella sua forma normale, un minuto nella variante leet “p4ssw0rd” e dieci miliardi di anni nella struttura “password.password”. Una bella differenza, non c’è che dire. Perciò è importante fare attenzione durante l'impostazione delle “chiavi di casa” virtuali. Basta un minimo sforzo per dare filo da torcere al criminale di turno, aggiungendo un ulteriore chiavistello digitale alla serratura che protegge le nostre informazioni più riservate.
Password sicure, le strategie che ci proteggono
Per potersi salvaguardare dagli attacchi hacker non vi è un metodo migliore ma una serie di accorgimenti che, utilizzati in maniera combinata, possono fungere da protezione per i dati. Questo discorso vale soprattutto per gli attacchi a dizionario, i più potenti tra tutti, ma non solo. Appare scontato dirlo ma è un concetto che merita di essere ribadito: meglio evitare date di nascita, nomi propri e altro riconducibile alla nostra identità. Una persona interessata all'account potrebbe rapidamente sfruttare lo spunto per fare un tentativo che potrebbe andare facilmente in porto, evitando di richiedere l’utilizzo di programmi ad hoc.
Utilizzare il nome del genitore o di un figlio, la data di nascita propria o del partner è per un hacker una porta spalancata sui nostri dati.
Tra le strategie a nostro vantaggio, la più forte - è quella rappresentata dall’autenticazione a due fattori quando il sistema lo prevede. Infatti, impiegare ulteriori strumenti come lo smartphone, un’app specifica o una chiavetta Usb aiuta a “tagliare fuori” (o almeno a tenere lontano il più possibile) i cybercriminali. Pure la scelta di password più articolate (oltre alle pass-phrase), con lettere maiuscole, minuscole, cifre e caratteri speciali, può darci supporto nella difesa, rendendo più difficile l’individuazione delle credenziali.
Ovviamente, una volta definita una chiave è indispensabile non riutilizzarla su altri siti o applicazioni, poiché renderebbe più facile la sua scoperta in caso dei già citati data breach. A tal proposito, può tornare utile un gestore delle password: in tal modo è possibile generare stringhe complesse senza avere la necessità di ricordarle. È sufficiente copiarle al momento opportuno e possono essere sempre portate con noi, grazie alle versioni raggiungibili o utilizzabili da smartphone e tablet oltre che da computer.