Durante i giorni di caldo africano girava in rete un articolo dove noti esperti del settore ‘cyber‘ si pentivano amaramente delle regole di robustezza delle password che essi stessi consigliarono anni or sono. E sono le regole che purtroppo tutti noi conosciamo e, soprattutto, odiamo: traslitterazione di lettere in numeri, password pseudocasuali e cambio password ogni tre-sei-nove mesi solo per citarne alcune.
Meglio tardi che mai, si direbbe!
Finalmente qualcuno si accorge che dall’eremo della scienza informatica si sono partorite regole a dir poco allucinanti. Se mai un utente volesse infatti rispettare tali regole, le password create sarebbero di difficile memorizzazione e quindi assolutamente inutili.
Oggi giorno, dove i data leak sono praticamente quotidiani, è fondamentale utilizzare una corretta politica di gestione delle password per la propria sicurezza. Non passa giorno infatti che i cracker (guai a chiamarli hacker) non riescano a entrare in possesso di grosse quantità di credenziali, ricavando poi in moltissimi casi le password originali proprio grazie alla loro scarsa robustezza.
Come, vi chiederete?
I casi sono due. Le password sono registrate in chiaro, senza quindi alcuna misura di protezione quale cifratura o impronta crittografica (hash), oppure le password sono intrinsecamente poco robuste. Nel primo caso c’è poco da fare, la vostra password per forte che sia cadrà in mani nemiche e quindi l’unica soluzione è utilizzare delle password diverse per ogni servizio. Nel secondo caso invece la costruzione di password più o meno robuste traccia la linea di demarcazione tra il bene e il male.
Vediamo quindi quali sono le caratteristiche di una password robusta:
- più la password è lunga, più sarà difficile “craccarla”: una password di almeno 16 caratteri è oggi il minimo sindacale;
- per creare password lunghe e memorizzabili:
- unire diverse parole, prese da contesti e lingue diverse, in una cosiddetta “passphrase” (es: “GelatoToyotaArchibugio”, “IceGhiaccioGelatoOzzy”);
- numeri, segni di interpunzione e spazi aumentano la robustezza a scapito della memorizzabilità (es: “Gelato;Toyota;Archibugio.25”, “12 Ice, Ghiaccio, Gelato, Ozzy”);
- le password più sicure sono quelle generate in modo casuale, ma sono anche quelle più difficili da memorizzare;
- utilizzare un password wallet con una “master password” estremamente robusta e memorizzabile, e generiamo tutte le altre password in modo casuale con l’aiuto dello stesso wallet;
- il numero delle password “da ricordare” deve essere ridotto al minimo, ad es. la master password del password wallet e quelle per accedere al PC in ufficio ed in casa.
In sintesi: la lunghezza delle password è determinante per la robustezza così come la sua memorizzabilità
Abbiamo visto le regole di robustezza della password, ma quando cambiarle? Veniamo da epoche in cui gli amministratori di sistema sindacavano sul numero di mesi oltre il quale obbligare gli utenti a cambiare le password in uso.
È però oramai dimostrato che più breve è il periodo del cambio password, più insicure saranno le password generate. Questo perché gli utenti devono pur sopravvivere e quindi adottano delle vere e proprie tecniche di ‘sopravvivenza’ che vanificano anche la migliore delle intenzioni.
Se la password per esempio era “MaQualeCambioPassword”, allora al successivo cambio l’utente proverà ad aggiungere un numero alla fine: “MaQualeCambioPassword1”, “MaQualeCambioPassword2”, etc. E se anche l’amministratore di sistema avesse previsto tutto ciò con delle regole minime di robustezza da rispettare nel cambio, scatterà il classico fogliettino, magari attaccato sul monitor o sotto la tastiera, con la nuova password super robusta.
Sicurezza del tutto? Nulla.
In sintesi: meglio un cambio password ogni 12 o 24 mesi con password robuste e sensibilizzazione degli utenti
“Last but not least” i password wallet, che sono estremamente importanti perché permettono di memorizzare le vostre password in modo criptato in una sorta di cassaforte virtuale protetta almeno da una master password.
Si dividono in due macro categorie: Internet e locali. Nella prima i wallet gestiscono le credenziali archiviandole nei loro sistemi/ cloud in Internet, quindi un attacco a questi ultimi potrebbe portare al data leak di tutte le credenziali degli utenti che utilizzano il servizio. Nella seconda i wallet memorizzano le credenziali nel vostro cloud o disco rigido e, a meno che non siate oggetto di attività di Intelligence o di indagine giudiziaria, sarà abbastanza improbabile che qualcuno tenti di craccare specificatamente il vostro password wallet;
In sintesi: meglio scegliere un password wallet che memorizza i dati in modalità ‘locale’
Glossario:
- credenziali: dati identificativi per l’accesso ad un servizio software; tipicamente username e password;
- data leak: fuoriuscite massive di credenziali o dati personali;
- impronta crittografica: funzione crittografica, tipicamente applicata alle password, che produce una sequenza alfanumerica di lunghezza predefinita chiamata “hash” (MD5, SHA1, SHA256, SHA512); dato l’hash è computazionalmente oneroso risalire alla password originale.
- cracker: sono la versione “criminale” degli hacker
- hacker: informatici che per scopo ludico o scientifico rompono codici e si introducono in sistemi
- craccare: termine con il quale si indica l’azione con cui si entra in possesso di una password o ci si introduce in un sistema informatico
- password wallet: software per la memorizzazione e l’accesso sicuro ad una cassaforte virtuale che contiene tutte le password e i dati di accesso degli utenti; l’accesso a questa cassaforte richiede una master password
- master password: password di accesso principale ad un password wallet