Come scegliere una password sicura


Quando è il momento di scegliere una password molte persone si orientano verso parole di uso quotidiano o che fanno riferimento alla propria persona, dimenticando il fatto che se la password è troppo semplice da ricordare per il proprietario, probabilmente non è difficile da scoprire per un malintenzionato.

Per capire come scegliere una password robusta analizzeremo le varie tecniche utilizzate per entrare in possesso di una password altrui, e vedremo come combatterle.

  • Scoprire la password vedendola digitare dalla vittima, o trovandola annotata da qualche parte.

Non serve a nulla creare una password robusta se poi viene digitata con leggerezza in presenza di altre persone, o viene annotata in bella vista sulla propria agenda, stiamo attenti a non fare ciò.

  • Scoprire la password conoscendo la persona e provando manualmente una serie di password che fanno riferimento alla persona stessa

La password non deve essere in nessun modo riconducibile alla propria persona, altrimenti un conoscente potrebbe facilmente scoprirla. Esempi classici sono la data di nascita, il nome del partner, il numero cellulare, il colore preferito, ecc ecc…

  • Avendo accesso al pc della vittima e trovando la password utilizzando degli appositi programmi di password recovery.

Per evitare che le password vengano salvate sul nostro pc (all’interno del registro di sistema) quando accediamo ad un servizio evitiamo di spuntare la classica checkbox “ricorda la password su questo computer” o simili, in questo modo la password non viene salvata sul pc e non è possibile recuperarla con nessun programma. Inoltre per evitare accessi non autorizzati al nostro pc, oltre a mettere una password sicura per l’accesso al sistema operativo, è buona norma impostare l’attivazione dello screensaver almeno ogni 15 minuti di inattività proteggendo il ritorno al sistema operativo con password.

  • Effettuando un attacco attraverso un software che prova in automatico tutte le password contenute in uno specifico dizionario

Per evitare questo tipo di attacco è importante non utilizzare parole di senso compiuto come password, esistono infatti dei software in grado di attaccare un sistema (come ad ad esempio un server di posta) provando in rapida successione tutte le parole contenute in un dizionario della lingua italiana, fino a scoprire quella che da l’accesso al servizio.

  • Effettuando un attacco Brute Force che prova tutte le possibili combinazioni di password.

Per contrastare questo metodo di attacco è necessario che la nostra password sia composta dal almeno 8 caratteri alfanumerici (quindi anche con cifre numeriche) e possibilmente con un mix di caratteri in maiuscolo/minuscolo, in modo tale da aumentare il numero di combinazioni che dovrebbe esaminare un attacco di tipo brute force (letteralmente di “forza bruta”). Tale attacco infatti prova in rapida sucessione tutte le possibili combinazioni di password fino a scoprire quella che da l’accesso al servizio, ma più aumenta il numero ed i tipi di caratteri che compongono la password, più sono le combinazioni da provare, e più aumenta il tempo necessario per provarle tutte. Un attacco brute force su una password robusta può richiedere dei mesi (trattandosi di diversi miliardi di combinazioni), periodo di tempo che rende tecnicamente molto difficile l’attacco e scoraggia il malintenzionato.

  • Rispondendo alla domanda segreta che alcuni servizi permettono di impostare durante la registrazione per permettere all’utente recuperare o cambiare la password smarrita

Per difendersi da questa tecnica si può inserire la parola che risponde alla domanda ma con dei caratteri alfanumerici aggiuntivi, ad esempio se la domanda è “il cognome da nubile di tua madre?” e la risposta è “ROSSI” voi inserite “!$%ROSSI!$%” altrimenti una persona che vi conosce saprebbe rispondere immediatamente alla domanda e potrebbe scoprire la vostra password.

  • Inviando alla vittima una falsa email dove spacciandosi per il gestore del servizio (ad esempio il provider presso il quale si ha l’indirizzo email) si chiede di inviare la propria password, giustificando la richiesta con fantomatici aggiornamenti del database.

Ricordo che nessun provider o gestore di servizi informatici richiede ai propri utenti di inviare la propria password per email, quindi non bisogna rispondere al messaggio ma segnalare eventualmente l’accaduto alle autorità competenti visto che si tratta di una tentata truffa informatica chiamata Phishing.

Infine ricordo che è consigliabile cambiare una password almeno ogni 6 mesi, e non utilizzare la stessa password per tutti i servizi che richiedono una autenticazione e che potete avvalervi di alcuni servizi gratuiti che vi aiutano nella scelta della password, come ad esempio PasswordBird.

28 Commenti

  1. lydya 7 ottobre 2006
  2. Ultime-Notizie.eu 23 gennaio 2007
  3. sharon 21 marzo 2007
  4. alessio 21 aprile 2007
  5. serena 17 maggio 2007
  6. Web Experiments 19 maggio 2007
  7. francesca 23 maggio 2007
  8. vittorio 2 giugno 2007
  9. samir 7 giugno 2007
  10. ilaria 26 agosto 2007
  11. Web Experiments 28 agosto 2007
  12. perparim 26 settembre 2007
  13. Web Experiments 26 settembre 2007
  14. elisa 8 ottobre 2007
  15. Enrica 10 dicembre 2007
  16. netu 15 dicembre 2007
  17. erika 17 dicembre 2007
  18. mzi 17 febbraio 2008
  19. domenico 7 agosto 2008
  20. gianluca 30 gennaio 2009
  21. gianluca 30 gennaio 2009
  22. antonio 12 aprile 2009
  23. luisa 24 aprile 2009
  24. Web Experiments 2 maggio 2009
  25. natale lisitano 2 gennaio 2010
  26. luzelena cedeno clavijo 13 settembre 2012
  27. salvatore 15 luglio 2013
  28. francesco 3 dicembre 2013