Nell’era digitale, archiviamo online sempre più dati personali: email, numero di telefono, indirizzo di casa, numeri delle carte di credito o altre informazioni altamente sensibili. Allo stesso tempo, violazioni di dati e hackeraggi sono ormai all’ordine del giorno, diventando una parte inevitabile della vita moderna e un rischio reale per le nostre informazioni personali.
Sapevate che, secondo uno studio condotto dal Crif, nel 2018 in Italia si sono verificati oltre 27.000 casi di frode di carta di credito tramite furto di identità? La perdita economica stimata di queste truffe ha superato i 135 milioni di euro. Nella prima metà del 2019, sono stati registrati oltre 90 casi di furto di identità al giorno. Pensate ancora che i vostri dati non abbiano poi così tanto valore e che non importa se subite una violazione?
Le password peggiori del 2019
Una delle cose che tengono gli hacker alla larga è la password. Malgrado ciò, secondo SplashData, una società di gestione delle password, le persone continuano a usare combinazioni come 123456, qwerty o password per proteggere i propri dati. La lista delle peggiori password del 2019 include princess, qwerty, iloveyou e welcome. L’aspetto preoccupante è che quest’elenco è più o meno lo stesso da anni. Nonostante le miriadi di articoli di stampa e di campagne di sensibilizzazione, la gente continua a non prendere misure, anche se dovrebbe essere consapevole dei rischi.
Verrebbe da pensare che nell’era del digitale non ci sia più bisogno di parlare di gestione delle password, ma potreste rimanere sorpresi di sapere che Password123 è la password preferita degli impiegati del governo dell’Australia Occidentale.
Tuttavia, ci sono molte misure che gli utenti dovrebbero adottare per proteggere i propri account, oltre alla password: devono disporre di un software antivirus, mantenere aggiornati i software, stare attenti al phishing e gestire correttamente le password.
Cosa rende efficace una password
Molte piattaforme online forniscono brevi indicazioni su cosa dovrebbe contenere una password efficace e alcune offrono persino uno strumento di misurazione. Tim Gaiser, responsabile del progetto Avira Identity Management, sostiene che la password debba seguire tre semplici regole: deve essere lunga, casuale e unica (ossia una diversa per ogni account).
A suo avviso, più lunga è una password, migliore è la protezione contro gli attacchi di forza bruta: “Consigliamo di utilizzare almeno 12, meglio ancora 20, caratteri per creare le password”.
Tim afferma che le password dovrebbero essere casuali, dal momento che molte persone usano dati personali o altre informazioni riconducibili a loro, come ad esempio i propri hobby o interessi. “Oggi è più facile che mai scoprire questo tipo di informazioni personali online o attraverso l’ingegneria sociale. Pertanto, raccomandiamo vivamente di utilizzare una password davvero casuale che non abbia nulla a che fare con voi.”
Infine, ma non meno importante, sottolinea che non si dovrebbero riutilizzare le password. “Se uno dei vostri account viene violato e la password viene compromessa, anche gli altri account sui quali la utilizzate sono a rischio. Ci sono grandi database con miliardi di dati di account violati che serpeggiano nel dark web, e anche il web pubblico e gli hacker ne fanno un uso massiccio.”
Tim consiglia di utilizzare un password manager e di creare le password utilizzando un generatore di password. “Quasi tutte le vostre password possono essere facilmente gestite in un password manager, senza che dobbiate ricordarle a memoria. Dovete solo sapere che sono archiviate in modo sicuro nel vostro gestore di password e che potete utilizzarle su tutti i vostri dispositivi ogni volta che ne avete bisogno.”
Una password efficace in due modi
Tuttavia, potreste comunque volerne memorizzare alcune (ad es. la password del vostro principale provider di posta elettronica). In questo caso, vale sempre tutto quanto affermato sopra, ma potreste creare una password efficace nei due modi seguenti, come afferma Tim.
Potete utilizzare il metodo passphrase. In altre parole: pensate ad almeno 4 parole a caso che potete ricordare facilmente, collegatele con caratteri speciali e assicuratevi di usare maiuscole e minuscole (ad es.: Montagna-Prato-Zebra-Gialla).
Oppure potete optare per il metodo della frase. Pensate a una frase lunga che riuscite a ricordare senza difficoltà e usate la prima lettera di ogni parola per creare la password. Utilizzate inoltre maiuscole e minuscole e aggiungete alle lettere anche numeri e caratteri speciali (ad esempio, se la frase è: “L’auto è verde, ha due porte e quattro ruote”, la password sarà: “lAev-h#2P&quattroR”).
Miti a password
Allo stesso modo, Tim sfata alcuni miti a riguardo, spiegando quali sono veri e quali pratiche invece sono cambiate nel frattempo.
Il primo è legato alla modifica periodica delle password. “Nel corso degli anni ci è stato detto di cambiare con regolarità le password (una volta all’anno e in alcune situazioni anche ogni sei mesi o ogni tre). Il risultato è stato che la maggior parte delle persone era così stressata che ha riutilizzato la password più recente o una più vecchia modificandola solo leggermente. Questa regola è stata da poco abbandonata dal NIST americano e dal BSI tedesco a favore di password forti, uniche e casuali”, riferisce l’esperto di Avira.
Il secondo mito sostiene che dobbiamo usare almeno una minuscola, una maiuscola, un numero e un carattere speciale. “Questa regola è stata introdotta in tempi lontani, quando le password erano relativamente brevi, per aumentare il numero di combinazioni e rendere più difficili gli attacchi di forza bruta. Sulla base della nuova indicazione di preferire password lunghe che in linea di principio consentono tutti i caratteri ASCII stampabili, non è più necessario imporre l’utilizzo di alcun tipo di carattere. Poiché ogni cifra aggiunta aumenta in modo esponenziale il numero di combinazioni possibili, è soprattutto la sola lunghezza a determinare il tempo necessario per identificare la password e non i caratteri utilizzati”, spiega Tim Gaiser.
Altri consigli per una password efficace
Non dite mai la verità nel caso in cui uno dei vostri account abbia un suggerimento per il recupero delle credenziali. I suggerimenti per le password sono facili da scoprire tramite l’ingegneria sociale e rappresentano una porta aperta sui vostri account. O pensate che sia difficile scoprire il cognome da nubile di vostra madre o il nome del primo animale domestico che avete avuto? Allora cosa si può fare? Se possibile, disattivate i suggerimenti per le password. E se non è possibile, mentite! Si dovrebbero trattare i suggerimenti come le password stesse. Il modo migliore è quello di generare un’altra password e memorizzare il suggerimento insieme alla vera password nel proprio password manager.
Usate l’autenticazione a due fattori. Il tipico criterio di accesso agli account online consiste nell’usare solo un nome utente e una password. Per rendere più sicuri i vostri account, molti provider offrono la possibilità di utilizzare un secondo fattore di autenticazione. Se vivete in Europa, è possibile che lo conosciate già dall’app della vostra banca, perché di recente l’autenticazione a due fattori è diventata obbligatoria per soddisfare il requisito della normativa Ue sull’autenticazione forte del cliente.
Per i classici servizi online che utilizzate, il sistema più utilizzato prevede che il provider vi invii al cellulare un SMS con un codice o che voi generiate direttamente il codice all’interno di un’app 2FA sul vostro dispositivo mobile. In entrambi i casi, per effettuare il login è necessario inserire il codice dopo aver inserito il nome utente e la password. Con questo sistema potete accedere al vostro account solo se conoscete la password (primo fattore) e avete accesso al dispositivo mobile (secondo fattore) che riceve il codice via SMS o genera il codice. In questo modo si impedisce agli hacker di accedere al vostro account, anche se sono in possesso della password.
Perché è necessario utilizzare un password manager
Abbiamo capito. Quando si tratta di proteggere i dati, ci sono molti aspetti da valutare. Considerando la nostra raccomandazione, secondo cui una buona password deve essere lunga, casuale e unica, l’unica via da percorrere è quella di utilizzare un generatore di password che alleggerisce dal peso di inventare ogni volta una nuova password. Secondo Tim Gaiser, una buona gestione delle password è la cosa più importante che un utente possa fare per proteggere i propri account online.
Una gestione delle password corretta comporta anche avere fiducia in uno strumento e lasciare che sia questo a gestire l’enorme lavoro di generazione e memorizzazione delle nuove password. Avira Password Manager è questo tipo di strumento. Funziona su tutti i vostri dispositivi e vi permette di accedere automaticamente ai vostri account online. E non finisce qui: il nostro password manager verifica la presenza di password deboli o riutilizzate e vi avvisa se un account online è stato violato. Inoltre, potete attivare l’autenticazione a due fattori dove è possibile e usufruire di Identity Scanner, uno scanner di identità che avvisa l’utente nel caso in cui i dati vengano rubati da uno dei fornitori di servizi. Tutto questo gratis.