Le password sono le chiavi delle nostre identità digitali. Una password forte è la prima linea di difesa contro i crimini in­for­ma­ti­ci. Tuttavia, dalle sta­ti­sti­che emerge che molti utenti uti­liz­za­no password non sicure oppure usano sempre la stessa.

My­De­fen­der
Massima sicurezza per tutti i tuoi di­spo­si­ti­vi
  • Pro­te­zio­ne antivirus
  • Backup au­to­ma­ti­ci e recupero dei file persi

Quali sono i requisiti necessari per la sicurezza delle password?

Molte persone scelgono ancora password deboli o facili da in­do­vi­na­re. Per garantire una sicurezza elevata delle password si dovrebbe prestare at­ten­zio­ne a diversi fattori. La scelta di una password sicura e l’uso di appositi strumenti per la gestione delle password possono essere con­si­de­ra­ti requisiti di base per la sicurezza delle password.

Quali sono le ca­rat­te­ri­sti­che di una password sicura?

Anche se da sole le password sicure non offrono una pro­te­zio­ne assoluta contro gli attacchi dei criminali in­for­ma­ti­ci, creare una password sicura è molto im­por­tan­te per pro­teg­ge­re i propri account. Gli utenti possono ve­ri­fi­ca­re se la password scelta è sicura valutando vari criteri:

  • Lunghezza: la lunghezza di una password è es­sen­zia­le, perché le password lunghe sono espo­nen­zial­men­te più difficili da forzare rispetto a quelle corte. Una buona password dovrebbe com­pren­de­re almeno da 12 a 16 caratteri.
  • Com­ples­si­tà: una password sicura dovrebbe contenere lettere maiuscole e minuscole, numeri e caratteri speciali come @, # oppure $. Queste com­bi­na­zio­ni sono difficili da in­do­vi­na­re sia per le persone sia per gli strumenti au­to­ma­tiz­za­ti.
  • Evitare la pre­ve­di­bi­li­tà: le com­bi­na­zio­ni semplici o le parole ri­co­no­sci­bi­li do­vreb­be­ro essere evitate, perché spesso i cy­ber­cri­mi­na­li usano attacchi a dizionari per provare le password più comuni.
  • Unicità: non usare mai la stessa password per piat­ta­for­me e servizi diversi; usa una password dif­fe­ren­te per ciascun accesso.
  • Ag­gior­na­re re­go­lar­men­te le password: so­prat­tut­to per i servizi es­sen­zia­li è utile ag­gior­na­re re­go­lar­men­te le password. Così si riduce al minimo il rischio che una password sia uti­liz­za­ta in­de­bi­ta­men­te in seguito a falle di sicurezza.

Scegliere un password manager adatto

I password manager sono pratici strumenti per creare password complesse e salvarle in modo sicuro. Per scegliere lo strumento più adatto per la gestione delle password, considera il supporto della crit­to­gra­fia end-to-end e l’in­te­gra­zio­ne di funzioni come gli avvisi in caso di password com­pro­mes­se o i controlli di sicurezza. Anche gli ag­gior­na­men­ti regolari sono im­por­tan­ti affinché un password manager sia af­fi­da­bi­le.

Le prin­ci­pa­li fughe di password degli ultimi anni

Ogni giorno mettiamo nelle mani di aziende e tec­no­lo­gia una quantità enorme di dati sensibili, nella maggior parte dei casi protetta soltanto da una password. Una misura di pro­te­zio­ne che a quanto pare spesso non viene presa ab­ba­stan­za sul serio con­si­de­ra­te le numerose fughe di dati della storia recente del web. Ser­ven­do­si di metodi di attacco come malware, siti o e-mail di phishing o attacchi di forza bruta, i criminali in­for­ma­ti­ci sono riusciti si­ste­ma­ti­ca­men­te ad acquisire cre­den­zia­li di accesso per poi rubare dati con­fi­den­zia­li degli utenti. Di seguito un riepilogo di alcuni dei casi più gravi:

  • LinkedIn (2012, 2016): già nel 2012 LinkedIn è stato violato, con il furto di oltre 6,5 miliardi di password con hashing. In seguito a questo attacco in­for­ma­ti­co, nel 2016 sono comparsi nella darknet altri 117 milioni di dati di accesso.
  • Yahoo (2013, 2014): una delle più grandi vio­la­zio­ni della sicurezza in assoluto ha ri­guar­da­to Yahoo. Tra il 2013 e 2014, in totale sono stati com­pro­mes­si tre miliardi di account (nomi utente, password e domande di sicurezza).
  • Adobe (2013): oltre 150 milioni di account utente di Adobe sono stati rubati a seguito di un attacco hacker. Una si­tua­zio­ne par­ti­co­lar­men­te grave: molte delle password erano crit­to­gra­fa­te male.
  • Facebook (2019): Facebook rese noto che milioni di password degli utenti erano state salvate in chiaro su server interni. No­no­stan­te i dati non siano usciti dai server, questo caso ha evi­den­zia­to la necessità di adottare pratiche più sicure anche da parte delle aziende.
  • Col­lec­tion #1-#5 (2019): nell’ambito di questa mega vio­la­zio­ne di dati, a gennaio 2019 sono stati pub­bli­ca­ti oltre due miliardi di indirizzi e-mail con le relative password, pro­ve­nien­ti da svariati furti di dati, alcuni noti e alcuni sco­no­sciu­ti ancora oggi.
  • Twitter (2022): a seguito di un incidente di sicurezza, un bug ha com­pro­mes­so i dati personali di oltre 5,4 milioni di account, inclusi numeri di telefono e indirizzi e-mail.
  • RockYou (2024): RockYou2024 è stata una massiccia fuga di dati, una delle più grandi raccolte di password mai pub­bli­ca­te. Ha in­te­res­sa­to oltre 9,9 miliardi di password acquisite da diverse fonti.

Gli eventi citati sot­to­li­nea­no ine­qui­vo­ca­bil­men­te l’im­por­tan­za della sicurezza in­for­ma­ti­ca. Al­tret­tan­to sor­pren­den­ti sono i risultati di un sondaggio rap­pre­sen­ta­ti­vo svolto da WEB.DE in occasione della giornata della sicurezza delle password 2019: solo circa un utente internet su due (il 53% degli in­ter­vi­sta­ti) coglie l’occasione per pensare a come gestire le password quando viene a co­no­scen­za di fughe di password e soltanto un quarto degli in­ter­vi­sta­ti ha di­chia­ra­to di procedere poi a cambiare le password di alcuni servizi web.

N.B.

Per provare a compiere i loro attacchi, nella maggior parte dei casi i cy­ber­cri­mi­na­li non uti­liz­za­no il proprio computer, ma i di­spo­si­ti­vi di utenti ingenui. In pre­ce­den­za, questi di­spo­si­ti­vi sono stati infettati con un malware che consente loro di comandare da remoto il sistema violato. I computer infettati che vengono uniti in enormi reti per compiere po­ten­zia­li attacchi sono spesso chiamati anche bot o zombie.

Come si può ve­ri­fi­ca­re la sicurezza delle password?

Ve­ri­fi­ca­re la sicurezza delle password è un’ope­ra­zio­ne decisiva per pro­teg­ge­re i tuoi account digitali da accessi non au­to­riz­za­ti o da fughe di dati. Sono di­spo­ni­bi­li vari metodi e strumenti che ti con­sen­to­no di con­trol­la­re se le tue password sono state com­pro­mes­se, se ri­spet­ta­no gli standard di sicurezza correnti o se sono troppo deboli.

Servizi online per il controllo delle fughe di dati

  • Have I Been Pwned (HIBP): una delle piat­ta­for­me più famose e af­fi­da­bi­li è Have I Been Pwned. Qui puoi con­trol­la­re se il tuo indirizzo e-mail o la tua password sono stati com­pro­mes­si in una fuga di dati nota. Inserisci il tuo indirizzo e-mail e vi­sua­liz­ze­rai un elenco di siti web coinvolti in fughe di dati a seguito delle quali le tue in­for­ma­zio­ni po­treb­be­ro essere state rubate. Il sito consente anche di con­trol­la­re le password; i dati inseriti sono ano­ni­miz­za­ti grazie a speciali tec­no­lo­gie di hashing.
  • Controllo sicurezza di Google: in Chrome, Google offre una funzione integrata per la verifica delle password. Il browser ti avverte se una delle tue password salvate è stata in­te­res­sa­ta da una fuga di dati. Dal tuo account Google puoi inoltre eseguire un controllo di sicurezza completo, che iden­ti­fi­ca anche le password deboli o usate più di una volta.
  • Funzioni di sicurezza dei password manager: molti password manager moderni offrono una funzione per ve­ri­fi­ca­re le password salvate. Questi strumenti ana­liz­za­no le tue password per rilevare se sono deboli, se sono usate due volte e se sono in­te­res­sa­te da incidenti di sicurezza noti. Così sai subito quali password devi ag­gior­na­re.

Testare che le password siano forti

Oltre a con­trol­la­re se le tue password sono state coinvolte in una fuga di dati, è im­por­tan­te valutare anche che siano forti. A questo scopo sono molti gli strumenti di­spo­ni­bi­li. Questi servizi con­trol­la­no la lunghezza, la com­ples­si­tà e l’entropia (casualità) di una password. Simulano inoltre quanto re­si­ste­reb­be la tua password a un attacco di forza bruta. Un esempio: la password “123456” può essere forzata in meno di un secondo, mentre una password come “X$4g8JwQ!a_%j” potrebbe resistere per molti anni.

Verifica manuale e mo­ni­to­rag­gio

Se sai che una de­ter­mi­na­ta piat­ta­for­ma è stata coinvolta in una fuga di dati, controlla se hai un account in questa piat­ta­for­ma. Cambia subito la password se hai usato la stessa password anche in altri siti. Inoltre, seguire le notizie sulla sicurezza in­for­ma­ti­ca o piat­ta­for­me come Reddit (ad esempio nel subreddit r/netsec) è utile per essere sempre ag­gior­na­ti sulle nuove fughe di dati. Qui spesso le falle di sicurezza sono segnalate prima che nei canali ufficiali, con­sen­ten­do­ti di adottare tem­pe­sti­va­men­te le con­tro­mi­su­re ne­ces­sa­rie. Gli strumenti come HIBP offrono inoltre notifiche e-mail per in­for­mar­ti se il tuo indirizzo e-mail è stato coinvolto in una nuova fuga di dati.

Vai al menu prin­ci­pa­le