password Fonte foto: Shutterstock
HOW TO

Come creare una password sicura per proteggere l’identità online

Fare una password efficace non è semplice. Ecco alcuni consigli e trucchi per mettere al sicuro dagli hacker le informazioni personali presenti in Rete

Rappresentano la forma di difesa informatica “basilare”, capace di proteggere dati e informazioni personali dalla longa manu di hacker e pirati informatici vari. Per questo creare una password efficace è fondamentale nell’ottica di utilizzare social e altri profili web in completa sicurezza.

Con il passare degli anni, al potenziarsi delle tattiche di attacco degli hacker, sono state sviluppate tecniche sempre più elaborate per fare password sicure. Si va dalla combinazione di caratteri alfanumerici all’utilizzo di software appositivi, sino all’impiego di un dado e una lunga lista di parole di senso compiuto. L’importante, ricordano gli esperti di sicurezza informatica, è non utilizzare informazioni personali o parole comuni all’interno delle chiavi di accesso utilizzate per i profili social o gli account di posta elettronica: si finirebbe solamente con il favorire il lavoro degli hacker.

Come scoprire una password

Quando arriva il momento di rubare password, infatti, i pirati informatici non vanno molto per il sottile. E, soprattutto, utilizzano mezzi completamente automatizzati così da non dover perder troppo tempo. La tattica più utilizzata è quella dell’attacco a dizionario: sfruttando un database composto da stringhe e parole di senso compiuto, gli hacker provano a bucare il profilo degli utenti inserendo possibili password a ripetizione. Una tecnica che torna particolarmente utile quando si è in possesso di grandi database con credenziali di accesso protette da crittografia: in questo caso per scoprire le password gli hacker trasformano il vocabolario (word list in gergo tecnico) in stringhe hash, così da confrontarle con quelle in possesso e trovare tutte le corrispondenze.

PasswordFonte foto: Flickr
Password su un palazzo

Come creare password sicure

Tra i vari consigli per fare password efficaci, dunque, il primo e più elementare è quello di non essere banali. Utilizzare il proprio nome e cognome o la propria data di nascita (così come ogni parola di senso compiuta presa singolarmente) o successioni di numeri come “12345678” è come invitare gli hacker a nozze. Bisogna, quindi, sforzarsi un po’ di più con la fantasia e trovare delle combinazioni particolari che possano rendere sicuri i propri account online.

Otto caratteri, almeno

Quando si parla di password efficaci e sicure, si parla senza ombra di dubbio di password lunghe. Ogni carattere aggiunto alle proprie chiavi d’accesso, infatti, rende più complesso e difficoltoso il compito degli hacker: in questo modo aumenta l’entropia e la quantità di lavoro (informatico, ma non solo) richiesta per scoprire la password di Facebook o della posta elettronica. Se fino a poco tempo fa i maggiori fornitori di servizi web consigliavano di creare password di otto caratteri, oggi la soglia si è spostata verso l’alto: il numero minimo di caratteri consigliati è dieci, ma se si fanno password di dodici caratteri sarà ancora meglio.

File hash passwordFonte foto: Flickr
File di hash contenente password

Combinata

Come detto inizialmente, utilizzare singole parole di senso compiuto non è consigliabile: si rischi di facilitare il lavoro di chi tenta come scoprire password. La password ideale (e non perfetta, dal momento che creare una chiave d’accesso perfetta è, probabilmente, impossibile) si compone di una sequenza casuali di caratteri alfanumerici: lettere maiuscole e minuscole, numeri e caratteri speciali (come punteggiatura, simboli matematici e altro).

Parole “modificate”

Nel caso in cui si volessero utilizzare comunque parole di senso compiuto, ci sono alcuni trucchi che permettono di fare password facili da ricordare, ma complesse da scoprire. Alcuni utenti, ad esempio, preferiscono sostituire i numeri alle lettere: lo “0” può andare al posto della “o”, mentre il “3” è il sostituto della “E”, l’”1” va al posto della “i” e il “5” come “S”. Una parola semplice come “Sentiero”, ad esempio, si può trasformare in “53nt1er0”: nulla di troppo complesso, ma sicuramente più difficile da scoprire per gli hacker.

Password hashFonte foto: Flickr
File di hash contenente password

Giocare con i dadi

Sempre restando nell’ambito delle parole di senso compiuto, una tattica che sta riscuotendo particolare successo negli ultimi anni è quella del diceware (dove dice sta per dado). Questa tecnica si basa su di un vocabolario formato da circa 60 mila termini di senso compiuto: parole utilizzate quotidianamente e identificate tramite un codice di cinque cifre da 1 a 6 (un codice, ad esempio, potrebbe essere 15465). Per creare password con il diceware sarà sufficiente dotarsi di un dado a sei facce (di quelli utilizzati per il Gioco dell’oca o per Monopoli, tanto per intendersi) e di un vocabolario creato ad hoc (si può utilizzare un dizionario diceware trovato in Rete in qualunque lingua; oppure è possibile scaricare la lista di parole Diceware in italiano, curata da Tarin Gamberini). A questo punto si potrà tirare il dado per cinque volte, appuntarsi la sequenza di numeri e andare a ricercare la parola corrispondente nel file scaricato. La peculiarità di questa tecnica è che consente di generare passphrase (frasi d’accesso) facili da ricordare (più o meno) in maniera semplice. Se, ad esempio, si vuole creare una passphrase di quattro parole (tutte di senso compiuto) basta tirare il dado per venti volte, raggruppare i numeri a cinque a cinque e confrontare le quattro sequenze numeriche ottenute con il vocabolario diceware e il gioco è fatto.

Password generatorFonte foto: redazione
Schermata di un password generator

Generatore di password

La via più breve per generare password efficaci è quella di ricorrere a generatori di password, software e applicativi web in grado di creare una stringa di caratteri casuali, utilizzando caratteri alfanumerici e seguendo le indicazioni fornite dall’utente. I password generator possono creare password sicure composte da dodici e più caratteri, mescolando lettere maiuscole e minuscole, numeri e caratteri speciali. I servizi più celebri sono Identity Safe di Norton, LastPass, Password Generator e Random.org: basterà sceglierne uno, impostare le opzioni come meglio si crede e premere su genera. In pochissimi istanti si avrà la propria password casuale e lunga, impossibile (o quasi) da scoprire.

passmanager
Password manager per smartphone

Mettere al sicuro le password

Il problema della password complesse, lunghe e casuali è che sono difficili da ricordare a memoria. Per questo motivo molti utenti preferiscono tenere (o creare) password insicure, ma facili da ricordare, piuttosto che fare password efficaci che mettano i dati personali al riparo da tentativi di attacco. Per ovviare a questo problema e poter così utilizzare chiavi d’accesso che proteggano effettivamente i nostri dati si possono utilizzare i password manager. Si tratta di software e applicazioni, sia installabili sulla memoria del dispositivo sia utilizzabili online, che consentono di salvare in maniera sicura le credenziali di accesso ai vari servizi. In questo modo sarà sufficiente collegarsi alla pagina di login per veder comparire automaticamente il nome utente e la password scelta e non si correrà più il rischio di dimenticarli. Vale la pena sottolineare che, nella gran parte dei casi, non è necessario installare alcun software aggiuntivo: i browser più utilizzati come Chrome e Firefox integrano, tra le varie funzionalità, un password manager pratico e sicuro.

Come testare la sicurezza password

Avete finalmente scelto la vostra chiave d’accesso casuale, alfanumerica, lunga o composta da più parole (passphrase)? Se volete, potete testarla prima di utilizzarla con il vostro account di posta elettronica. Sul web, infatti, sono presenti diversi servizi che consentono di verificare quanto sia “forte” la password e forniscono, allo stesso tempo, un’indicazione su quanto tempo sarà necessario a un hacker per scoprire la password Facebook o di qualunque altro profilo.

Tre i servizi per verificare la robustezza della password maggiormente conosciuti e utilizzati dagli utenti: Kaspersky secure password checker, The password meter, How secure is my password (quanto è sicura la mia password). Tutti questi tool forniscono un’indicazione sulla sicurezza della password, accompagnata da alcuni dati “complementari”: lo strumento di Kaspersky, ad esempio, indica, quanto tempo è mediamente necessario per bucare il profilo, mentre il password meter assegna un punteggio alla password in base ad alcuni criteri di sicurezza seguiti (lunghezza della chiave d’accesso, sequenza casuale o meno, presenza di numeri e caratteri speciali e così via). Nel caso i risultati non fossero quelli sperati (password poco sicura e facilmente indovinabile) si può seguire nuovamente la guida e creare una chiave d’accesso a prova di pirata informatico.

Ti raccomandiamo