Non esistono password totalmente sicure, solo password che resistono più a lungo

Il braccio di ferro tra creatori di sistemi di autenticazioni sempre più evoluti e programmatori in grado di violarli, è in continua evoluzione, come ha messo in evidenza l’hacker Matthias Ungethuem, che nel suo palma res vanta violazioni ai sistemi di Facebook, PayPal, Interpol, NSA, CIA e FBI, «non esistono password totalmente sicure, solo password che resistono più a lungo».

Per questo nel corso degli anni abbiamo assistito a una evoluzione dei sistemi di autenticazione, passando da password che oggi appaiono semplici e banali, ad autenticazioni a due fattori e riconoscimenti facciali.

Procediamo per gradi….

Ognuno di noi, almeno una volta nella vita, si è trovato davanti a una schermata in cui per accedere al sistema ci viene chiesto di confermare la nostra identità, generalmente attraverso l’inserimento di due dati chiave: username e password.

Per accedere a molti sistemi è infatti necessario che l’identità dell’utente combaci con un codice a lui associato, per questo gli viene richiesto di dimostrare la propria identità:

• Attraverso qualcosa che conosce, come una password o un pin
• Attraverso qualcosa che possiede fisicamente, come una carta di credito o un token
• Attraverso qualcosa che è, come l’impronta digitale, la scansione facciale ecc.

Queste tre tipologie di autenticazione possono essere usate singolarmente o in maniera associata ed è in parte da questa scelta che dipende il livello di sicurezza: un’autenticazione a un fattore sarà ovviamente più debole rispetto a un’autenticazione a più fattori.

Il sistema di autenticazione più diffuso, sia singolarmente che in associazione ad altri, è l’utilizzo di PASSWORD o di PIN. Tale sistema è anche quello più vulnerabile, proprio a causa della semplicità delle password che gli utenti decidono di utilizzare.

Come creare una password più sicura?

Prima di tutto bisogna assicurarsi di non avere malware nel proprio dispositivo, altrimenti, anche la password più sicura del pianeta, potrebbe essere facilmente scoperta. Una volta effettuata questa verifica bisogna decidere quale password utilizzare per ogni singolo account.

Solitamente le password scelte dagli utenti sono tutte parole o associazioni di parole e numeri, il più delle volte riconducibili alla propria sfera personale, cosa che rende la vita facile agli hacker che, grazie a sistemi automatici che analizzano miliardi di parole e combinazioni al secondo, sono in grado di scoprire le password più deboli e banali.

Per scegliere una password bisognerebbe quindi partire dal presupposto di essere il più illogici possibile. Una password è più difficile da crackare quanto più è complessa e la complessità è data da:

• lunghezza: all’aumentare dei caratteri aumentano le possibili combinazioni; solitamente la lunghezza dovrebbe essere di almeno 8 caratteri, meglio se 12;
• utilizzo di lettere, numeri, maiuscolo e minuscolo e segni della tastiera utilizzati in maniera casuale (è molto utile utilizzare segni della tastiera appartenenti a lingue diverse come la dieresi tedesca).

Uno dei consigli più validi per creare una password complessa e per riuscire a ricordarla è quello di creare una frase che contenga parole e numeri e che non abbia necessariamente un senso: es. c’erano 13 cavalli nello spazio che mangiavano sassi.  Prendendo le iniziali di ogni parola, utilizzando il maiuscolo per i nomi propri o comuni e sostituendo la “e” con “&” e una “s” con “$”, la mia password potrebbe essere:       c’&13CnScm$.

La password creata, come suggerisce il titolo di questo articolo, non potrà mai essere sicura al 100%, ma sicuramente occorrerà molto più tempo, in termini anche di mesi o anni, ad un potenziale hacker per scoprirla.

Altri consigli utili…

La sicurezza delle nostre password passa anche da altre buone pratiche da applicare ogni qualvolta ci viene richiesto di scegliere una password:

• non riutilizzare mai vecchie password
• non utilizzare la stessa password su più account
• memorizzare a mente le password senza trascriverle. Nel caso fossero troppe da memorizzare, non devono essere trascritte su computer o telefono.

Sicuramente combinando diversi tipi di autenticazione la sicurezza del proprio account, e quindi dei propri dati e informazioni, aumenta, per questo a Qboxmail offriamo ai nostri utenti la possibilità di attivare l’autenticazione a due fattori (OTP) per accedere al Pannello di controllo, e in futuro anche alla Webmail.

Un’autenticazione in due step dove, dopo l’inserimento della propria password viene richiesto all’utente di inserire anche un codice univoco generato in maniera casuale ogni 60 secondi.