Esistono password sicure?

Ti rispondiamo subito: no. Esistono solo password che resistono più a lungo.

Nel mondo della sicurezza informatica non esistono password inviolabili. Esistono solo password più difficili da indovinare, e soprattutto da violare in tempi ragionevoli.

Gli attacchi ai sistemi di autenticazione evolvono ogni giorno. Ecco perché nel tempo siamo passati da semplici password testuali a metodi multifattoriali: codici temporanei, autenticazioni biometriche, token fisici. Ma per quanto sofisticato possa essere il sistema, il punto debole è quasi sempre lo stesso: la password scelta dall’utente.

I tre fattori dell’autenticazione

Qualsiasi sistema di accesso si basa su uno o più elementi per verificare l’identità dell’utente: qualcosa che conosce (come una password), qualcosa che possiede (un token o uno smartphone), o qualcosa che è (come un’impronta o il volto).

Utilizzare solo uno di questi elementi rende l’accesso vulnerabile. Aggiungerne un secondo, come nel caso della verifica a due fattori, complica la vita agli attaccanti, senza stravolgere l’esperienza dell’utente.

Come si costruisce una password forte

Una password efficace è lunga, complessa e imprevedibile. Non deve contenere riferimenti personali evidenti e deve essere diversa per ogni account.
Un buon metodo è partire da una frase insensata e trasformarla in una stringa difficile da decifrare.
Ad esempio: “Tre orsi sulla luna mangiavano fragole blu” può diventare 3OslmFb!. Non è memorabile per tutti, ma se lo è per te, funziona.
L’importante è non fidarsi del proprio istinto: se ti sembra una buona idea, probabilmente lo è anche per chi vuole violarla. Sforzati di essere creativo, non furbo.

Le abitudini che fanno la differenza

Anche la password più sofisticata può essere inutile se viene gestita male. Alcune regole base aiutano a limitare i danni in caso di compromissione:

• Non usare la stessa password per servizi diversi
• Non salvarla in chiaro su appunti o note del telefono
• Non condividerla, mai
• Cambiarla periodicamente, almeno sugli account più sensibili

Se gestisci decine di account, valuta l’uso di un password manager affidabile.

L’approccio Qboxmail

Nel Pannello di controllo Qboxmail è possibile attivare la verifica in due passaggi tramite codice OTP. Dopo l’inserimento della password, l’utente deve inserire un codice temporaneo generato da un’app di autenticazione come Google Authenticator.
Stiamo lavorando per portare questa funzionalità anche all’interno della Webmail.

In un mondo in cui le minacce aumentano, una buona password è un inizio. Ma la differenza la fa la combinazione tra tecnica, consapevolezza e strumenti giusti.