Il tema password è ampiamente dibattuto su numerosi blog in quanto è l’elemento basilare di una buona protezione dei nostri dati personali. Infatti nella stragrande maggioranza dei casi, un hacker deve ringraziare l'ingenuità, l'imprudenza o "ignoranza" dell'utente, se riesce a penetrare un computer o una rete. Un esempio è il lasciare la "password di default sui router" che testimonia come tanti lascino scoperto il loro accesso di rete.
Fortunatamente a meno di casi clamorosi, un computer o una rete protetta secondo normali standard è quasi impenetrabile e siccome la maggior parte delle persone non gestisce database aziendali e non ha un computer che contiene dati sensibili di altre persone, è poco plausibile che un hacker esperto perda tempo a forzare un pc privato.
I normali standard di sicurezza sono soddisfatti se si dispone di un pc aggiornato, un antivirus sempre aggiornato, un firewall attivo e, un antispyware. Tuttavia internet resta pericoloso perché navigando ci si distrae facilmente e si è più vulnerabili.
Se da un lato, la fiducia negli strumenti di pagamento e bancari su internet è giustamente cresciuta, sono anche aumentati i tentativi dei criminali informatici di impossessarsi di dati e di password per rubare soldi.
In questo articolo quindi cerchiamo di capire come impostare una password forte con uno strumento che simula il comportamento di un hacker che vuole scoprirla.
La procedura per scoprire una password si chiama brute force che sostanzialmente non è altro che il lavoro svolto da particolari programmi, per altro facilmente reperibili su internet, che scansionano velocemente tutte le possibili combinazioni di lettere, numeri e caratteri speciali fino a che non trovano la password per accedere.
Il problema delle procedure di brute force è che, se la password è abbastanza lunga e con caratteri alfanumerici possono impiegare anche 6 mesi per trovare una password.
Lo strumento offerto dal sito Hackosis permette di scoprire quanto tempo ci vorrebbe, per un normale computer su cui gira un programma brute force, per scoprire la password usata. La bontà dello strumento è che non chiede di inserire la propria password ma chiede di quanti caratteri è, quanti numeri vi sono, quante lettere maiuscole, quanti simboli e caratteri speciali.
Lo strumento non ha evidenza scientifica ma, presumibilmente si avvicina molto al valore reale del tempo che ci vuole a scoprire una password. Ad esempio una password costituita da 7 caratteri in minuscolo e un numero si scopre in 29 minuti, mentre una password costituito da 7 lettere maiuscole, 7 minuscole, un numero e un carattere speciale si può trovare in 312.9145.610,89 giorni
Altro strumento online per misurare la forza di una password si trova sul sito Password Meter che serve a generare una password forte e sicura e a testare la password usata.
Più facile da usare e capire è il sito HowSecureismypassword che fa un test per vedere quanto tempo ci vorrebbe ad un programma di brute force per scoprire una password.
Personalmente ritengo che, se un pc privato è tenuto in normale sicurezza, la password di accesso si può tenere anche breve di 8 caratteri con un paio di numeri; nessuno perderebbe 3 giorni per crackare la password di un pc privato.
Su internet, per iscriversi ai forum e servizi di puro intrattenimento, si può usare anche sempre la stessa password di 7/8 caratteri. Per servizi bancari e importanti, invece bisogna usare password più complesse usando caratteri alfanumerici, anche se la maggior parte dei siti internet, blocca gli accessi come fosse un bancomat se nota attacchi di brute force.
Dunque la cosa più importante resta il non accedere mai da link esterni o da mail a servizi su internet dove si tratta proprio denaro e di controllare sempre che nella barra degli indirizzi di siti bancari o di acquisti online, sia presente l'https che testimonia l'uso di certificati protetti.