World Password Day – Contenuto a cura di Elisa Romano, membro del Comitato Direttivo delle Women for Security
Questa ricorrenza è stata inventata nel 2013, allo scopo di sottolineare l’importanza delle chiavi di accesso ai sistemi informatici, quale fondamentale misura di sicurezza da adottare con particolare criterio. La password è infatti il sistema di autenticazione più utilizzato, posto che strumenti più sofisticati, quali ad esempio il riconoscimento facciale, richiedono software più complessi (e costosi).
Partiamo dalle basi: che cos’è una password? Letteralmente significa “parola d’ordine”, ossia quella che si deve sapere per accedere ad un luogo ad accesso riservato, rendendo chiara la ragione per cui viene predisposta, ossia impedire l’accesso ai soggetti non autorizzati. A livello di sistemi/applicazioni, è quindi uno strumento che ci permette di entrare in una porzione esclusiva dello stesso, al fine di garantire la riservatezza di un determinato contenuto (e anche l’integrità e la disponibilità, garantendo quindi la cd CIA tanto cara a noi operatori del settore della sicurezza). La prima password è stata inventata dal MIT – Massachusetts Institute of Technology, negli anni ‘60, ad opera di un ingegnere di nome Fernando Corbatò, recentemente scomparso, ritenuto uno dei padri dell’informatica.
Una password (talvolta chiamata anche codice di accesso, PIN – personal identification number – o codice segreto) è un meccanismo di sicurezza di base costituito da una chiave segreta, creata dall’utente utilizzando caratteri alfabetici, numerici, alfanumerici e simbolici o una combinazione di questi. In pratica, una password viene utilizzata per limitare l’accesso a un sistema, applicazione o servizio ai soli utenti che sono autorizzati ad utilizzarlo, tramite una verifica in fase di accesso alla porzione riservata.
La password è una delle procedure di controllo accessi più utilizzate, applicata praticamente a tutti i dispositivi e servizi digitali ed informatici. In genere, una password viene utilizzata in combinazione con un nome utente, e si devono fornire entrambi per accedere a un sistema, una rete o altra area protetta. Nella maggior parte delle applicazioni e dei servizi, le password vengono create dall’utente stesso e devono essere differenti per ogni diverso sistema o servizio utilizzato, così in caso di furto di credenziali i danni sono limitati.
La data fissata come “password day” può essere sfruttata per ricordarsi di aggiornare le proprie password: è infatti fondamentale, in aggiunta ai requisiti di complicazione, che vengano cambiate ad intervalli di tempo regolari che non siano troppo lunghi (almeno ogni 6 mesi).
Quali sono i consigli utili per far sì che le nostre password svolgano correttamente il loro ruolo di protezione?
Innanzitutto, è importante evitare di creare password semplici, facilmente ottenibili attraverso informazioni personali, talvolta reperibili tramite account social, come il nome del proprio cane o la data di nascita di nostro figlio. È fortemente consigliato anche non riutilizzare la stessa password per servizi diversi, poiché ne comprometterebbe la resilienza, oltre che utilizzare password complesse che includano lettere maiuscole e minuscole, numeri e simboli per renderle più sicure. In questa scelta, vengono in soccorso i browser più comuni, che possono suggerire password complesse e memorizzarle automaticamente sui dispositivi per una maggiore comodità. Si dice infatti che l’unica password sicura è quella che non si può ricordare: motivo per cui vengono in aiuto sia gli strumenti che le generano che quelli che ce le ricordano.
World Password Day: quali sono quindi i consigli per avere password sicure?
Innanzitutto, partiamo dalla lunghezza: deve essere almeno di 8 caratteri (8 è il veramente il minimo sindacale, meglio salire a 12 o 15): sembra banale ricordarlo, ma più è lunga e complicata (quindi formata da caratteri diversi – lettere minuscole e maiuscole, numeri e simboli) più si allungano i tempi necessari per la decodifica, posto che dipendono, oltre che dalla potenza di calcolo dello strumento, dalla complessità della stessa. Un altro strumento utile per proteggere le proprie password è l’autenticazione a due fattori (“MFA” multifactor autenticator, introdotta nel 1986), che richiede un codice aggiuntivo, temporaneo, oltre alla password per accedere ai propri account. Questo codice può essere generato da un’apposita app, oppure è ottenibile via sms/mail. Si possono, utilizzare password manager, ovvero software appositamente sviluppati per archiviare in modo sicuro le password e auto-compilarle quando necessario, tramite un cookie che le memorizza.
Ovviamente la password per essere robusta deve rimanere segreta: il famoso esempio del post-it attaccato allo schermo del pc con indicata la chiave di accesso potrebbe farvi sorridere, purtroppo è la dura realtà, sono cose che succedono! Nell’elenco delle password più usate, la prima in classifica rimane il banale 123456, mera sequenza di numeri senza alcuna complicazione: il tempo necessario per decodificarla è di meno di 1 secondo. Da alcune statistiche emerge una curiosità: pare che i paesi si differenzino nella scelta delle password, gli utenti tedeschi preferiscono infatti le combinazioni numeriche mentre gli italiani usano principalmente i nomi di persona, e ovviamente i più utilizzati sono quelli più comuni, come ad esempio “Giuseppe”.
Come fare a capire se le nostre “chiavi” segrete sono state violate?
C’è un servizio fornito dal sito haveibeenpwned.com nel quale basta inserire lo username e in un attimo si ottiene la fatidica risposta. Indipendentemente dalla violazione o meno, come detto sopra, è fondamentale cambiare le nostre password frequentemente e soprattutto non utilizzare la stessa per accedere a servizi diversi.
Le credenziali compromesse hanno un mercato, vengono infatti acquistate dai criminali per essere utilizzate per entrare illecitamente nei sistemi e compiere azioni criminose. Tra le modalità di furto, andando oltre la mera lettura del suddetto post-it analogico (che sarebbe invece del cd “shoulder surfing”, ossia la lettura alle spalle mentre si digita la password, un “shoulder reading”!), ci sono le attività di social engineering che, come noto, approfittano della sventatezza dell’essere umano per accedere ai sistemi. Ricordiamoci sempre che almeno l’80% degli attacchi avviene per un nostro comportamento non in linea con le regole di sicurezza: banali accortezze, come quelle riassunte sopra, aiutano a ridurre i rischi.
LEGGI ANCHE: World Password Day. La classifica delle peggiori password… e come evitarle
