Le password sono comunemente utilizzate come unica forma di autenticazione e sono la barriera fra noi utenti e le nostre informazioni digitali. Esistono in rete parecchi programmi hacker, capaci di indovinare o “crackare” le password, si impone quindi la necessità di effettuare una scelta oculata della password che va salvaguardata in modo corretto tale da rendere difficile la scoperta e l’utilizzo da parte di persone non autorizzate.
Perché abbiamo bisogno di una buona password?
Si pensi a quanti numeri e a quante password, al giorno d’oggi, ciascuno di noi deve ricordare, ad esempio i vari PIN, il codice BANCOMAT e tante altre svariate password per accedere ad altrettanti servizi; con l’andar del tempo ricordarsi tutto questo può essere frustrante e ci si chiede se vale la pena fare tutto questo. Dopo tutto, molti di noi si chiedono perché un hacker dovrebbe interessarsi del nostro account di posta elettronica o cercare di scoprire il nostro account bancario e non interessarsi ad altre persone che hanno un conto corrente bancario con qualche zero in più. La risposta risiede nel fatto che la scoperta e l’uso di qualsiasi informazione potrebbe risultare preziosa per futuri attacchi e molteplici altri scopi.
Come dovrebbe essere scelta una password?
La maggior parte di noi tende a creare password basate su informazioni personali e di conseguenza facili da ricordare; questo sicuramente è un aiuto per chiunque sia interessato ad indovinare o “crackare” una password. Si pensi alla maggior parte dei PIN usati comunemente, questi infatti si basano o su date facili da ricordare (giorno-mese-anno), oppure sono riferiti ad un numero di telefono o ad altre informazioni personali basate su numeri facili da ricordare. Ora si provi a pensare quanto facile sia per un hacker venire a conoscenza di questo PIN! Per quanto riguarda invece la scelta della password per una casella di posta elettronica, questa in buona percentuale ricade su una parola contenuta nel dizionario italiano o inglese. Se così fosse, la password sarebbe suscettibile ad un “dictionary attack”, parliamo di un programma che prova a risolvere la password con tutte le parole del dizionario italiano ed inglese e tutto questo in termini relativamente brevi.
Una discreta difesa contro il “dictionary attack” potrebbe essere quella di non usare parole contenute nel dizionario, per esempio usare parole appartenenti a qualche dialetto italiano, oppure trovare un metodo mnemonico per ricordare la password scelta, ad esempio le iniziali di una frase che è facile ricordare:
Io Sono un Tifoso della Squadra A: potrebbe risolversi nella password: ISuTdSA.
Come si evince dall’esempio l’uso delle lettere minuscole e maiuscole complica la scoperta. L’abbinato uso di caratteri speciali, inoltre, complicherebbe ulteriormente la scoperta per qualsiasi software: !SuTdS@.
Questo non significa, che la nostra password possa considerarsi una: “strong password”, specie se la password scelta viene usata per più sistemi. Per questo si suggerisce di usare la stessa tecnica per formare password differenti per ottenere l’accesso ad ogni singolo sistema.
Ecco alcuni consigli per la scelta della password:
-
Non usare password basate su dati personali che potrebbero essere facilmente scoperti.
-
Non usare password che possono essere ricercate su dizionari di qualsiasi lingua.
-
Sviluppare un processo mnemonico per strutturare una strong password.
-
Usare una combinazione lettere minuscole e maiuscole, caratteri numerici e speciali.
-
Usare differenti password costruite con le tecniche sopraccitate per ciascun sistema.
Come proteggere la propria password?
Ora che abbiamo scelto una password difficile da indovinare, bisogna essere sicuri di conservarla in un posto sicuro lontano da occhi indiscreti.
Le cose da non fare sono:
-
Scrivere la password su un foglietto e lasciarlo sotto gli occhi di tutti in ufficio, come ad esempio su un post-it attaccato intorno al monitor del pc.
-
Rivelare la/e propria/e password. Un hacker potrebbe tentare con trucchi psicologici via e-mail o tramite telefono di farvela dire, Social Engineering.
Nel caso il nostro Internet service provider (ISP) offra la scelta del servizio di autenticazione, privilegiare il protocollo di autenticazione Kerberos invece del challenge/response o l’uso di “pubblic key encryption” invece che di normali password.
Si sconsiglia inoltre di utilizzare programmi che offrono l’opzione di “remembering” della password, in quanto questi non assicurano la necessaria sicurezza.
É inoltre buona norma cancellare periodicamente sempre i file temporanei del nostro browser di navigazione web ed effettuare sempre l’operazione di Logout, specie quando si usano computer pubblici (biblioteche, Internet Cafè) o usati da più utenti nello stesso ufficio.
Cosa succede se perdiamo la password?
Ci si potrebbe trovare nella situazione dove si venga a dimenticare la password. In caso di perdita/dimenticanza della password, sarebbe utile conservare la password protetta in qualche posto sicuro oppure escogitare una situazione logica che permetta di risalire alla password. A tal proposito, un comune stratagemma è quello di predisporre in anticipo una domanda e una risposta, in modo che quando è necessario verificare l’identità, basta dimostrare di conoscere la relativa risposta.
Il punto debole di questo sistema è che le informazioni richieste potrebbero essere rintracciabili senza troppo sforzo. Un suggerimento potrebbe essere quello di fornire una risposta intenzionalmente errata, in modo che sia impossibile per chiunque risalire ad essa.