Ormai viviamo in un mondo completamente circondati da password, per accedere alla banca, a un social, a TurboLab.it e a un qualsiasi servizio online, se questi portali non hanno una doppia autenticazione, per esempio con l’invio di un codice sul cellulare, l’utilizzo di una password troppo semplice vi espone al rischio che qualcuno la possa scoprire. Ci sono programmi appositi in grado di provare tutte le password possibili, combinando lettere, numeri e simboli (brute-force attack) o di testare tutte le parole presenti in un dizionario (dictionary attack), certo ci vuole del tempo per provarle tutte e più la password è complessa più tempo impiegherà il nostro attaccante a scoprirla.
Purtroppo ancora moltissime persone utilizzano password pessime, il classico “12345678” o “qwerty”, e il nostro hacker di turno impiegherebbe solo pochi minuti/secondi per trovarla.
Una password robusta, cioè composta da molti caratteri, numeri e simboli, rende il lavoro del nostro “scopritore di password” decisamente più complicato, perché le combinazioni dei caratteri aumentano come i tentativi da fare, così i tempi per trovare la password diventano molto più lunghi, dipenderà molto anche dalla potenza e dalla velocità del computer utilizzato, e la password diventa meno “appetibile”. La robustezza della password indica quanti tentativi deve fare il nostro hacker per indovinarla e violare l’account protetto da questa password.
Le regole basilari per una buona password sono:
- Lunghezza minima della stringa di 8 caratteri (se però andiamo verso una quindicina è decisamente meglio);
- Contenga lettere maiuscole e minuscole
- Presenza di numeri
- Presenza di simboli (!\?@*)
Altra cosa molto importante sarebbe quella di non utilizzare mai dati personali, come il proprio nome, cognome, data di nascita, vostra o di parenti stretti nella password. Un eventuale attaccante che dovesse conoscervi o avere accesso a questo tipo di informazioni sarebbe tra le prime password che proverebbe.
Mai usare la stessa password in servizi diversi, una volta che il nostro hacker ne ha scoperta una potrebbe tentare di utilizzarla anche in altri portali così da avere facilmente accesso a tutta la vostra vita privata.
Una cosa molto buona potrebbe essere, dove sia possibile farlo a seconda della lunghezza permessa della password, l’utilizzo di una Passphrase cioè una password composta da più parole, magari il titolo della vostra tesi di laurea più la data in cui avete acquistato l’auto, giusto per fare un esempio. Scegliete cose complesse, ma che vi ricordate e che potete conoscere solo voi. A quel punto il numero di caratteri della password diventerebbe decisamente notevole e al nostro hacker di turno passerebbe la voglia di provarci.
Ultima regola è quella di cambiare la password con una certa frequenza e non scriverla su un postit da attaccare sotto la tastiera (magari trovate un luogo più riservato).
Ci sono poi molti software, e anche servizi online, che generano delle password casuali e molto robuste, però ricordarsele sarebbe decisamente impossibile, come ricordarsi una password diversa per ogni servizio online. Per aiutarci a non dimenticare nulla, tranne la password principale, e accedere a ogni servizio ci sono i gestori di password come Bitwarden.
Verifica password
Ci sono alcuni servizi online che verificano la robustezza di una password, i risultati, almeno per le password che ho provato, sono stati parecchio diversi, credo che dipenda dal tipo di calcolo che fanno loro per definire quanto è robusta la password, vi daranno comunque l’idea di quanto tempo impiegherà l’eventuale attaccante a scoprire la vostra password.
Per provare il servizio utilizzate sempre una password equivalente alla vostra reale, inserite quindi lo stesso numero di caratteri, cambiando lettere, simboli e numeri.
passwordmeter.com
Il sito Passwordmeter.com valuta una serie di caratteristiche della password, come il numero di caratteri o se sono ripetuti, per giudicare la robustezza della password.
Security.org
Ho dato in pasto, a tutti e due i siti, una password con due simboli, una maiuscola, sei lettere e 8 numeri, i risultati sono piuttosto diversi. Su Security.org ottengo un trillione di anni.
password.kaspersky.com
Nel sito password.kaspersky.com mi dice che un comune computer casalingo impiegherà “solo” 9 secoli. Nonostante la differenza dei tempi, direi che dovrei essere “abbastanza” al sicuro lo stesso.
Una cosa interessante di questo sito, in questo caso ho inserito come password un comune nome di persona, è che vi dice anche quante volte questa password è stata scoperta e esposta.
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]