Una password a prova di privacy - 10 regole pratiche

“L'unica password sicura è quella che non si può ricordare”
(Troy Hunt, esperto di Cybersecurity)

Nel 2016 Cory Scott capo della information security di LinkedIn, ha informato che quattro anni prima, quindi nel 2012, LinkedIn era stato vittima di un accesso non autorizzato con la conseguente divulgazione delle password di alcuni utenti.
Lo ha fatto con un post sul blog ufficiale del noto social network con cui consigliava, come best practice, a tutti i membri di modificare le proprie password.

Perché ben quattro anni dopo? Perché dopo il primo attacco del 2012 tutto sembrò finire, invece, nel 2016 comparvero in vendita nel Dark Web le credenziali linkedIn allora rubate.
Ma cosa ha reso famigerato questo data breach, oltre all'enorme quantità di dati violati? Le sue vittime eccellenti: un gruppo di hacker chiamato OurMind Team violò gli account LinkedIn, Twitter e Pinterest di Mark Zuckerberg.
E questo è stato possibile perché il fondatore di facebook usava per tutti i suoi account social la stessa password “dadada”.
Non solo, la stessa sorte per identici motivi (la condivisione di password) hanno subito il fondatore di Twitter ed il CEO di Google.

Da questo aneddoto possiamo ricavare che tutti possono essere vittime di violazione di dati, anche persone non propriamente sprovvedute dal punto di vista informatico e che la prima regola della sicurezza informatica è non utilizzare mai la stessa password per servizi diversi perché se non possiamo impedire la violazione del server di un sito, possiamo almeno evitare che tutti i nostri account vengano violati contemporaneamente.

Le 10 regole per una password sicura

Ma come si costruisce una password sicura?
Lo vediamo insieme seguendo anche i suggerimenti del Garante Privacy.

Una buona password che possa essere considerata sicura:

1. deve essere composta da un buon numero di caratteri perché più è lunga, più diventa “forte”. Non scendere mai sotto gli otto caratteri, ma sarebbe meglio meglio usarne almeno 12/15;
2. deve contenere caratteri di diverso tipo. Spesso le password vengono impostate con lettere maiuscole/minuscole e numeri, ma questo limita le combinazioni possibili fra cui poter scegliere. Occorre prendere in considerazione anche i caratteri speciali da tastiera (cioè #@&%$^ ecc.) in modo che le possibili combinazioni aumentino.
   Se un attacco a forza bruta (condotto attraverso la prova automatica di un gran numero di combinazioni di caratteri fino a trovare quello giusto) può impiegare, a seconda della potenza di calcolo, meno di un secondo per decifrare una password composta da otto caratteri di soli numeri, questo lasso di tempo sale esponenzialmente se ci si sforza di comprendere nelle nostre password 12 caratteri scelti anche fra i 33 tipi di caratteri speciali. Più questo lasso di tempo si allunga, più il lavoro dell'attaccante diventerà difficoltoso e diventerà per lui meno conveniente cercare di carpire la password.
3. non deve essere banale né contenere riferimenti personali o familiari facili da indovinare o che possono essere noti (nome, cognome, data di nascita, numero della patente o della carta di identità). Non deve nemmeno contenere riferimenti al nome utente (user name, user id, ecc...);
4. non deve usare parole contenute nel dizionario (di qualsiasi lingua!) o di uso comune o parole scritte al contrario. Nella costruzione della password non è consigliabile usare come escamotage l'inserimento di errori comuni di ortografia o abbreviazioni o ovvie sostituzioni di lettere con caratteri speciali (@ per a; & o 3 per e oppure § o $ per s). Sono tutti trucchetti, questi, che gli attaccanti conoscono e che i software sono “allenati” a trovare. Piuttosto usare parole di fantasia e parole senza senso.
5. Non deve essere composta da sequenze di numeri o lettere o da caratteri contigui sulla tastiera o caratteri ripetuti. Fra le combinazioni più abusate troviamo 12345678 o qwerty assolutamente deboli!
6. Va sostituita quando si sospetta che possa essere stata violata. La variazione periodica della password, pratica un tempo caldeggiata se non obbligata, NON è più consigliabile. Il NIST (l''Istituto nazione degli standard e delle tecnologie americano) consiglia di cambiare le password quando si sospetta sia stata violata Ma attenzione perché va sostituita con una password completamente nuova: non vanno mai utilizzate password già utilizzate in passato. Questo discorso vale anche per le cd. “password temporanee” rilasciate dalle piattaforme o dai siti in cui ci si registra, che vanno sempre immediatamente cambiate.
7. Deve essere unica e non utilizzata per più servizi o più account. Come abbiamo visto in apertura, questo trucco permette, in caso di furto o di violazione di dati, di evitare così il rischio che anche tutti gli altri profili vengano compromessi dato che è possibile, per gli attaccanti, utilizzare strumenti che consentono di “testare” se una password in loro possesso perché frutto di una violazione di dati, viene utilizzata anche per altri servizi.
8. Deve essere conservata in modo sicuro. Il grande classico che tuttora si trova in molti uffici è la password scritta su un post-it attaccato al monitor del computer che è una pratica da assolutamente da evitare come anche annotarle su biglietti che possono essere persi o dimenticati o in file non protetti sui dispositivi personali (computer, smartphone o tablet).
9. Non deve mai essere condivisa, né oralmente, né via e-mail, sms, social network o attraverso programmi di messaggistica istantanea.
10. Non deve mai essere memorizzata, specie su dispositivi che non siano personali (attenzione alle postazioni pubbliche, come i computer in uso alle biblioteche per esempio) ma non solo. Anche salvare le password del proprio dispositivo nel browser non è una buona idea perché possono essere facilmente carpite con un semplice operazione di modifica della formattazione. E per fare questo basta avere l'accesso al pc, anche da remoto...

Ma costruire una password robusta basta per essere al sicuro?
Purtroppo no, anche mettendo in pratica tutti i consigli visti fin qui non si può escludere che una password venga carpita.
Anche la persona più preparata può cadere vittima di phishing o smishing e inserire le proprie password perfettamente sicure... nei form di atterraggio di questi link truffaldini.
Per ovviare a questo problema occorre necessariamente utilizzare, laddove sia possibile, meccanismi di autenticazione multi fattore (es. codici OTP one-time-password), che rafforzano la protezione offerta dalla password rendendola, di fatto, invalicabile.
Come funziona questo tipo di autenticazione? Con diversi metodi ovvero quando fa leva chiedendo all'utente almeno due diversi fra questi fattori:

1. “Una cosa che sai”, la classica password o il PIN.
2. "Una cosa che hai”, la carta di credito, lo smartphone o un token di sicurezza.
3. “Una cosa che sei”, come l’impronta digitale o l'immagine del viso o qualsiasi altro dato biometrico.

Ma come posso custodire in modo sicuro decine password complesse?
Usando dei password manager: programmi o applicazioni specializzati che generano password sicure e consentono di gestirle direttamente in formato digitale, salvandole in un database cifrato sicuro.
Ce ne sono di vario tipo, gratuiti o a pagamento e sono protetti da una master password che serve per potervi accedere e che sarà l'unica password che occorrerà ricordare.
Ma attenzione perché in molti password manager non esiste il pulsante “hai dimenticato la password?” per recuperare credenziali smarrite o dimenticate!
Occorre avere cura di scegliere un password manager che utilizzi la crittografia a conoscenza zero che in poche parole significa che il fornitore del servizio non viene a conoscenza dei dati che vengono memorizzati sul manager perché questi vengono criptati prima che lascino il dispositivo dell'utente, durante il trasferimento e quando poi vengono archiviati sul server.
In sostanza è come se l'utente chiudesse in una cassaforte le sue password e la consegnasse al manager che a questo punto avrà materilamente lo scrigno ma non saprà cosa c'è dentro.
Anche se lo forzasse non riuscirebbe comunque a leggere nulla dal momento che i dati sono protetti dalla master password.

– Marina Mirabella, Avvocato e collaboratrice di CyberAcademy