Che sia un account di posta elettronica, Dropbox o l’online banking, quasi dappertutto è necessaria una password per effettuare il login e poter utilizzare i servizi online. Nella scelta della password molti utenti ricorrono a combinazioni classiche di nomi, date o luoghi di nascita facili da ricordare. A volte basta un piccolo errore per decifrare una password in pochi secondi. Creare una password veramente sicura è più complicato di quanto si pensi.
Nella maggior parte dei servizi online la password è l’unico meccanismo di protezione per informazioni sensibili. Se durante la scelta della password si ricorre per comodità a combinazioni troppo semplici, per gli hacker diventa facile criptare la password e riuscire ad accedere per esempio a dati di pagamento o informazioni personali. Già un semplice attacco a dizionario a volte basta per criptare molte delle password in uso. Con questo tipo di attacchi cibernetici si provano su un programma numerose password, le quali si basano su stringhe di caratteri che danno come risultato parole sensate: viene cioè passato in rassegna una sorta di dizionario. Una password efficace dovrebbe pertanto essere composta da almeno 8 caratteri alfanumerici casuali e caratteri speciali. Un’importante password principale, per esempio una password di sicurezza, dovrebbe almeno contenere 12 caratteri.
Affinché la propria password non sia facile da criptare, sono da evitare i seguenti errori:
„123456“, „abcdefg“ o „Password“ sono le password più comuni in tutto il mondo e, di conseguenza, anche quelle di gran lunga meno sicure. Un semplice attacco a dizionario è in grado di leggere queste combinazioni in pochi secondi. Vengono inoltre estrapolate liste di numeri, quindi anche le date di nascita non sono sicure.
Una password breve ha un unico vantaggio: è facile da ricordare, ma un espediente mnemonico può costare caro alla sicurezza. Una password sicura deve contenere almeno 8 caratteri, in quanto password troppo brevi possono essere facilmente decodificate in pochi secondi da un attacco brute force (tentativo di possibili combinazioni di caratteri). Inoltre la password, oltre alle lettere minuscole, dovrebbe contenere maiuscole, numeri e caratteri speciali.
Alcune pagine sono purtroppo molto facili da violare. Le informazioni memorizzate su questi siti non dovrebbero contenere dati sensibili; tuttavia si utilizza la stessa password sia per questi portali a rischio sia per il proprio account di online banking o per l’accesso ad Amazon ed è così che gli hacker entrano in possesso di dati importanti.
Per verificare quanto una password sia effettivamente sicura, sono d’aiuto pratici strumenti come How Secure is my Password?
Scegliere una password efficace non è facile, anche quando si evitano gli errori di cui si è parlato sopra e si sceglie una combinazione di caratteri sufficientemente lunga. Non appena si trova una combinazione ricostruibile in modo personale e facilmente memorizzabile, la password diventa intuibile, almeno per i sofisticati programmi hacker. È importante perciò utilizzare un generatore di password. Questi strumenti esistono anche come app, per esempio Passwort Generator App con cui è possibile creare in pochi clic una password sicura. Generatori di password simili però si trovano anche come software gratuiti per il PC. Programmi come PWGen creano dopo l’installazione password sicure della lunghezza desiderata.
Si possono utilizzare anche le seguenti strategie per trovare una password sicura e variabile per tutti gli accessi: si alterna una password principale/master password quasi “indecifrabile” utilizzando una combinazione di caratteri definita per i diversi portali web. È possibile così procedere secondo un qualsiasi schema. Una possibilità è, per esempio, combinare la master password con il nome del servizio utilizzato, per esempio PayPal o Ebay.
Naturalmente nella strategia proposta qui sopra non si sceglie “master password+Ebay” come password. Si prende invece per esempio la vocale o sempre la seconda o terza lettera del nome del servizio e la si colloca in posti precisi della master password, per esempio sempre in seconda, terza o ultima posizione.
Esempio: la master password è G5w.&$;(9b.B e si vorrebbe creare la password per Ebay. Si sceglie la prima o la terza lettera del servizio, cioè nel caso di Ebay la “e” la “a”, si colloca la lettera all’ultimo o terz’ultimo posto della master password e si aggiunge all’inizio della password il numero di lettere di cui è composto il nome. Così si ottiene la password 4G5w.&$;(9bE.Ba. Se si procede secondo lo stesso principio per il servizio PayPal, la password diventa 6G5w.&$;(9bP.By.
Anche se si utilizza un sistema intelligente rimane pur sempre un rischio residuo. Non è mai escluso che qualcuno scopra il modello utilizzato e che da un account ne deduca la password dell’altro. È quindi importante che le combinazioni con la master password vengano applicate solo a pagine affidabili al cento per cento. Per pagine meno importanti e forse anche meno sicure si consiglia di utilizzare un’altra password. Per forum e community, che sono meno sicuri, rimane l’opzione di cosiddette password monouso che si utilizzano solo una volta e in nessun’altra variazione.
Ricordare una password generale con più di 12 caratteri non è per niente facile. Un trucco più semplice è quello di usare la combinazione come password utente per il PC. In seguito, si deve impostare il timeout del blocco schermo dopo un intervallo molto breve, ad esempio due minuti. Questo fa in modo che dopo ogni piccola pausa al computer si debba inserire nuovamente la password, cosa che alla lunga può seccare, ma permette che la password si fissi nella memoria.
Un’ultima regola d’oro per la sicurezza della password: non si dovrebbe mai conservare la password sul PC in forma non criptata (in modo leggibile), per esempio annotandola su un file excel. Potrebbero infatti essere spiate facilmente da altri utenti o da un trojan. È meglio gestire password sensibili con l’aiuto di un password manager come Password Safe, 1Password o LastPass. Maggiori informazioni su questo argomento sono disponibili anche su un altro articolo.
IONOS Servizio di verifica e-mail
Controlla l'autenticità di un'e-mail IONOS: scopri subito se si tratta di un tentativo di phishing e segnalalo per rimuoverne il contenuto.
Verifica le emailElimina le e-mail di phishingFacile da usare
Rivelereste a qualcuno il vostro numero di conto corrente? Sicuramente no. È però proprio questo che si fa quando si utilizzano password, per il conto online o per Amazon, che non riescono a resistere neanche pochi secondi ad attacchi di hacker. Per creare e gestire delle password davvero sicure, è consigliabile utilizzare dei software per la gestione di password.
Se si sentisse per la prima volta il termine tabelle arcobaleno, non si penserebbe mai che si tratti in realtà di un potente metodo di attacco utilizzato dai cybercriminali. Infatti, grazie alle tabelle arcobaleno si può riuscire a scoprire alcune password in pochi secondi. Per proteggersi da questi attacchi si dovrebbe capire come funzionano queste tabelle. Ricorrendo a un esempio vi spieghiamo...
Perdita di dati e attacchi hacker: la sicurezza su internet diventa sempre più importante per l’utente. Le password standard composte da nomi e anni di nascita vengono scoperte in pochi secondi dai criminali informatici, dando loro libero accesso ai conti. La TOTP viene in soccorso in combinazione con l’autenticazione multi-fattore, offrendo una password valida solo per un breve periodo di tempo....
Quando si è vittima di un attacco di doxing, le informazioni personali più intime vengono all’improvviso raccolte da sconosciuti e diffuse molto rapidamente in rete. Insulti, minacce, diffamazioni, anche al di fuori di Internet, possono esserne le conseguenze. Perché i responsabili del doxing ricorrono a questo mezzo così perfido?
Le password sicuramente non sono lo strumento ideale per muoversi nel World Wide Web. Se sono complicate, sono difficili da ricordare e se sono troppo semplici, sono facili da scoprire anche in tempi brevissimi. FIDO2 propone perciò una procedura diversa basandosi su una tecnologia moderna. Questo standard aperto ha il potenziale di rendere la navigazione in rete allo stesso tempo più comoda e più...
Offri ai tuoi clienti servizi professionali e affidabili con l'hosting di IONOS.
Scopri i pacchetti
Dominio omaggio per un anno