La password è la prima linea di difesa contro le minacce digitali, ma spesso viene fraintesa. Molti utenti credono che cambiare regolarmente la password o utilizzare solo codici complessi sia la soluzione per garantire la sicurezza completa. Anche se la realtà è molto diversa, ci sono concetti comuni che vengono ancora ripetuti, anche se inesatti. Questo articolo sfata alcuni di questi preconcetti e spiega cosa dicono realmente le agenzie di sicurezza in merito alla protezione degli account.
Da decenni utilizziamo le password per i computer, ma nessuno sembra essere d'accordo su come sceglierne una, cosa debba contenere e se una password sia abbastanza buona. Analizziamolo brevemente.
Le frasi sono password intrinsecamente insicure.
A differenza delle password tradizionali, le passphrase sono composte da stringhe di parole e non da caratteri casuali.
Poiché sono composti da parole anziché da lettere, numeri e caratteri speciali casuali, a volte vengono erroneamente considerati più vulnerabili agli attacchi di forza bruta, soprattutto se gli hacker utilizzano un attacco tramite dizionario. Ma questo non è vero. Se si sceglie con cura la passphrase, una passphrase di quattro parole può avere centinaia di miliardi di possibili combinazioni e ci vorrebbero milioni o miliardi di anni per decifrarla.
Il rischio più grande è scegliere passphrase molto comuni. Per garantire la tua sicurezza, evita frasi che compaiono nella musica, nei programmi TV, nei film, nei libri o in altri media. Non usare la tua citazione preferita di un personaggio famoso.
Con questa semplice avvertenza, le passphrase offrono un grande vantaggio: sono più facili da ricordare rispetto alle password di pari lunghezza. Ad esempio, "birdDandeLionTanktoeGlasses" è più facile da ricordare di "6dCV^skr%H4b6r9Xn8TAP5z86$6".
Cambiare regolarmente la password aumenta la sicurezza.
Molti servizi richiedono di cambiare regolarmente la password, ma a meno che non si riutilizzino le password (cosa che non si dovrebbe mai fare) o che non si verifichi una fuga di dati che ne renda pubblica la password, questa modifica non apporta alcun reale vantaggio.
Ci vorrebbero miliardi di anni per decifrare una password di media sicurezza, supponendo che gli hacker siano liberi di fare un numero qualsiasi di tentativi. Tuttavia, tutti i sistemi di accesso ben progettati dispongono di modalità per impedire a chiunque di provare a indovinare 100 milioni di combinazioni. Dovrebbero essere vietati dopo solo pochi tentativi.
L'unico caso in cui qualcuno potrebbe provare a decifrare la tua password in questo modo è se avesse una copia del tuo database delle password. L'ideale sarebbe che il progettista del sistema prendesse delle precauzioni per garantire che le password memorizzate siano difficili da decifrare.
Purtroppo non è sempre così e dovresti cambiare la tua password se un database che la contiene viene rubato. In caso contrario, potresti essere vulnerabile al phishing delle credenziali.
Per creare password complesse è necessario utilizzare solo caratteri speciali.
Ovunque tu vada, quando provi a scegliere una password, tutti ti dicono che ogni password deve contenere un mix di lettere maiuscole e minuscole, oltre a numeri e caratteri speciali.
- Questo fa pensare che siano queste qualità a rendere una password forte, ma la realtà è più complicata di così.
- Sono due i fattori principali che determinano la sicurezza di una password: la lunghezza e la complessità.
- La complessità si riferisce al numero di diversi tipi di caratteri utilizzati (lettere, numeri e simboli), mentre la lunghezza si riferisce al numero di caratteri utilizzati.
- In generale, le password più sicure sono quelle con il maggior numero possibile di tentativi.
- Ciò significa che la password utilizza tipi di caratteri diversi, è troppo lunga o entrambe le cose.
Ciò che conta è la lunghezza della password.
D'altro canto, è vero che le password (e le passphrase) diventano più efficaci quanto più sono lunghe, ma la loro efficacia non risiede solo nella lunghezza.
Ad esempio, puoi creare una password lunga 10 caratteri e molto probabilmente verrà decifrata quasi immediatamente: aaaaaaaaaa.
La vera efficacia della lunghezza extra si ottiene solo se la password è casuale o almeno pseudo-casuale. I caratteri ripetuti o le sequenze di lettere o numeri comuni, come 12345 o abcdef, sono relativamente facili da decifrare.
Le password complesse rappresentano un'alternativa all'autenticazione a due fattori (2FA).
Sento spesso dire: "Non ho bisogno dell'autenticazione a due fattori, basta una password".
Questo può applicarsi a resoconti che non ti interessano o non ti interessano, ma non è mai vero per nulla di importante.
La triste verità è che le password sono un sistema fondamentalmente imperfetto. Le persone riutilizzano costantemente le stesse password e scelgono password deboli che sono facili da forzare, anche se non dovrebbero.
Le password sono inoltre vulnerabili a malware come i keylogger, che possono letteralmente rubare la password mentre la digiti. Per non parlare poi del phishing, in cui una vittima ignara viene ingannata e indotta a rivelare inconsapevolmente la propria password.
L'autenticazione a due fattori (2FA) ti protegge da quasi tutti questi rischi, a patto che tu prenda delle precauzioni e ti ricordi di non fornire mai a nessuno i tuoi codici di autenticazione a due fattori, in nessuna circostanza.
Se hai difficoltà a tenere traccia di password o passphrase lunghe e complesse, la soluzione migliore è un gestore di password: si occuperà della parte più difficile per te.
Naturalmente, le password efficaci e l'autenticazione a due fattori sono solo una parte di una buona igiene digitale. Per quanto possibile, conserva backup sicuri dei file e delle informazioni importanti e non esporti a rischi inutili.
Non comprendere appieno il funzionamento delle password può esporre i tuoi dati ad attacchi inaspettati. Vecchie pratiche come cambiare la password ogni mese o utilizzare codici complessi e privi di significato non sono più efficaci come un tempo. La cosa più importante è scegliere una password complessa e unica e utilizzare, ove possibile, l'autenticazione a due fattori. Riconsiderare le proprie conoscenze sulla protezione dei propri account potrebbe essere il passo più importante verso una vera sicurezza digitale.
