La creazione di una password forte è spesso difficile per molti utenti di computer e dispositivi mobili. La maggior parte delle persone difficilmente riesce a ricordare senza problemi il PIN a quattro cifre della propria carta di debito. Allo stesso modo, sembra quasi impossibile per la maggior parte degli utenti memorizzare una password lunga e criptica, ad esempio per l’accesso all’online banking o all’account eBay o ai social network. Il risultato è che in breve tempo si hanno da cinque a dieci account diversi a cui si accede sempre con la stessa password per motivi di semplicità. Nel seguente articolo vi forniamo aiuto, suggerimenti e trucchi per ottenere password forti.
Il rischio più comune e più grande per la sicurezza quando si ha a che fare con la tecnologia informatica continua a essere rappresentato dalle password deboli, che i criminali informatici possono facilmente indovinare o decifrare con l’aiuto dei cosiddetti attacchi a forza bruta. Il risultato è l’abuso di dati e il furto di identità. Secondo un’indagine di Microsoft, quest’ultimo, insieme al phishing, potrebbe causare danni annuali per circa cinque miliardi di dollari. Il danno finanziario è spesso accompagnato da una perdita di immagine. Per questo è ancora più importante utilizzare una password forte, che può essere creata senza troppi sforzi come segue.
Assistenza per password forti
- La password deve essere composta da almeno 12 caratteri. In confronto, una connessione WLAN sicura richiede non meno di 20 caratteri.
- La stringa di caratteri deve contenere lettere maiuscole e minuscole, numeri (0-9) e caratteri speciali (!?%&).
- Vanno evitate parole tratte da dizionari, nomi di familiari, animali domestici o amici e conoscenti.
- Si sconsiglia l’uso di sequenze di lettere sulle tastiere (asdfghjkl).
- Le dieresi sono problematiche all’estero, quindi vanno evitate.
Come faccio a ricordare una password forte?
La comodità dell’utente viene spesso anteposta alla sicurezza. Questo si traduce in password memorabili, ma facilmente craccabili. Tuttavia, creare una password forte e sicura non è una stregoneria. Una master password si basa, ad esempio, sulle prime lettere delle parole di una frase come: “Cisono molti giorni caldi in estate“. L’ISgevhT che ne deriva contiene già lettere maiuscole e minuscole, ma non numeri o caratteri speciali, ed è ancora troppo breve. L’aggiunta di un determinato suffisso, legato ad esempio a una funzione del sito web a cui si vuole accedere, aumenta il livello di sicurezza. Se prendiamo come esempio Twitter e il colore del logo come aggiunta specifica, il risultato è azzurro. Se al colore si aggiunge il numero corrispondente alla lunghezza dei caratteri (Twitter = 7 caratteri), il risultato è azzurro07. Se poi il colore e il numero sono collegati al carattere speciale hash, il risultato è: azzurro#07. Infine, la password principale e l’aggiunta sono separate e incorniciate da asterischi. La password forte finita è: *ISgevhT*lightblue#07*.
Suggerimenti per la gestione delle password
La trasmissione criptata dei dati è l’elemento fondamentale, soprattutto per l’online banking. L’utente riconosce una connessione “a prova di tap” con la moderna crittografia SSL/TLS dal simbolo HTTPS o dal lucchetto all’inizio di un URL. I dati immessi, così come la password, non possono essere intercettati o utilizzati impropriamente da terzi.
In generale, non è consigliabile scrivere le password, inviarle via e-mail o instant messenger o salvarle sul computer senza un software speciale e sicuro. L’inserimento della password deve avvenire in modo segreto come l’inserimento del PIN al bancomat.
Cambiare regolarmente le password
Si consiglia agli utenti di cambiare la password ogni tre-sei mesi, soprattutto per i conti online come l’Internet banking, Amazon o Pay Pal. Come per gli account di posta elettronica, è importante proteggere l’accesso e quindi l’accesso ai dati riservati. La posta elettronica viene utilizzata per comunicare con vari servizi che richiedono un account utente. Se un utente dimentica la propria password, questa può essere ripristinata con l’aiuto dell’account di posta elettronica personale. Anche qui il pericolo è in agguato: se un malintenzionato ha accesso a un account di posta elettronica, è facile richiedere una nuova password e dirottare l’account.
Dopo aver effettuato l’accesso tramite una rete WLAN pubblica, la password deve essere cambiata immediatamente. Con l’aiuto dello spoofing, i dati trasmessi dal computer portatile al punto di accesso possono essere intercettati e successivamente utilizzati per scopi criminali.
Alternative alla password
Con un’autenticazione a due fattori basata su dispositivi mobili, i rischi per la sicurezza possono essere ridotti al minimo quando si effettua l’accesso, perché oltre alla password, l’utente deve inserire un’ulteriore password monouso. Questo codice viene inviato allo smartphone dell’utente e garantisce che solo gli utenti autorizzati possano accedere.
Le chiavi USB personalizzate sono un’altra alternativa, ma sono ancora in fase di sviluppo. Tutte le password utilizzate vengono memorizzate su di esse. Dopo aver inserito questa “chiave master”, il login avviene automaticamente. L’utente avrebbe sempre a portata di mano le varie password, ma corre anche il rischio di perdere il supporto dati e quindi tutte le password.
Il cosiddetto braccialetto Nymi, non ancora pronto per il mercato, potrebbe in futuro sostituire la password attraverso la comunicazione NFC e un battito cardiaco unico per ogni persona. Nel frattempo, i metodi di autenticazione biometrica che utilizzano gli scanner delle impronte digitali o dell’iride sono molto popolari. Inoltre, esistono applicazioni che “scansionano” la forma dell’orecchio tramite la fotocamera frontale prima dell’uso e sbloccano il dispositivo solo dopo la conferma. Ulteriori considerazioni vanno nella direzione di misurare l’andatura, la velocità di battitura o il riconoscimento facciale completo.
La verifica tramite token virtuali per gli utenti di computer portatili in connessione con lo smartphone è un’altra possibilità. Al momento dell’accesso, un token, ad esempio sotto forma di codice QR, appare sullo schermo e viene poi scansionato dallo smartphone.
Al momento le alternative alla password sono poche. Resta da vedere quali metodi di autenticazione prevarranno in futuro senza dover correre rischi per la sicurezza. Una password forte in combinazione con l’autenticazione a due fattori offre attualmente il massimo livello di protezione e dovrebbe quindi essere uno standard, soprattutto nelle aziende.
Introduzione: © wrangler – Fotolia.com