Vai al contenuto

Una guida (di base) per creare delle password robuste

“Treat your password like your toothbrush. Don’t let anybody else use it, and get a new one every six months” – Clifford Stoll

Quando si crea un account su un sito web, si è colti per un momento dalla “sindrome della password”. Il dilemma è se è necessario fornire una password debole che è facile da ricordare o una password complessa che è difficile da ricordare.

Qui di seguito vengono specificate alcune regole e le linee guida che possono aiutare a superare questo vostro dilemma e vi aiuterà a creare una password complessa e sicura. 

I. Le 2 regole essenziali nella creazione di una password

Durante la creazione di una password sarebbe necessario seguire almeno queste due regole fondamentali.

Regola 1 – Lunghezza password: scegliete password di almeno 8 caratteri. Più le password sono lunghe, più sarà il tempo necessario per craccarle da un utente malintenzionato. Se poi decidete di usare 10 caratteri o più è ancora meglio.

Regola 2 – Complessità password: la password deve contenere almeno un carattere di ciascuno dei seguenti gruppi. Almeno 4 caratteri nelle vostre password dovrebbero essere ciascuno dei seguenti.

  1. carattere alfabeti minuscolo
  2. carattere dell’alfabeto maiuscolo
  3. Numeri
  4. Caratteri speciali ( !”£$%&/()=? etc…)

Chiamiamo questa regola come “8 4”, cioè:

  • 8 = 8 caratteri di lunghezza minima
  • 4 = 1 minuscola + 1 maiuscole + 1 numero + 1 carattere speciale.

Grazie a questa regola la password sarà più robusta e più forte agli attacchi di eventuali malintenzionati. Se la tua banca o qualsiasi sito web che tratti dati sensibili ti fornisce una password che non segue la regola “8 4”, suggerisco vivamente di cambiare le password immediatamente e seguire la regola “8 4”.

II. Linee guida per la creazione di password complesse

  1. Seguire la regola “8 4”. Come ho già detto, questa è la base della creazione di una password.
  2. Caratteri unici. deve contenere almeno 5 caratteri unici. Avete già 4 caratteri diversi se avete applicato la regola “8 4”.
  3. Utilizzare un Password Manager. Le password complesse sono difficili da ricordare, ed è anche chiaro che non si possono ricordare a mente più di 4 – 5 password complesse diverse. Quindi, è necessario utilizzare un luogo sicuro e affidabile per ricordare le password complesse. L’utilizzo dello strumento di gestione password per memorizzare le password in realtà dovrebbe diventare un’abitudine. Ogni volta che si crea una password, va memorizzata all’interno del password manager, che si occuperà di crittografare il database delle password e quindi conservarle al sicuro per voi. Personalmente vi raccomando di utilizzare KeePass2 (http://keepass.info/), open source, totalmente gratuito che funziona su piattaforma Windows, Linux e Mac. Esiste anche una versione portable che può anche essere lanciato direttamente da un drive USB.
  4. Usa passphrase. Se proprio non desiderate desidera utilizzare un password manager, non vi fidate e volete tenere tutto a mente,  potrete usare il meccanismo della Passphrase per ricordare facilmente le password. Scegliere, ad esempio, le iniziali di una canzone o una frase che risulta essere per voi molto familiare. E’ poi possibile convertire la passphrase in una password complessa, ad esempio: “Le password sono come biancheria intima, bisogna cambiarle spesso!“,  può essere facilmente convertita in “Lpscbi,bc5!“. Semplice, no?

III. Linee guida per evitare la creazione di password deboli

Gli errori più comuni durante la creazione di una password sono elencati qui sotto. Vi consiglio di leggere attentamente e di non applicare questi metodi quando creerete la vostra password perfetta.

  1. Password uguale all’username o parte del nome utente
  2. Uso di nome di familiari, amici o animali domestici.
  3. Uso di informazioni personali o familiari. Ciò include le informazioni generiche che possono essere ottenute su di voi molto facilmente, sopratuttto la data di nascita, numero di telefono, numero di targa del veicolo, nome della strada, numero di appartamento / casa, ecc
  4. Sequenze, cioè alfabeti consecutivi, numeri o tasti sulla tastiera. per esempio abcde, 12345, QWERTY. Sono le prime ad essere rintracciate.
  5. Parole del dizionario. Parole del dizionario con un numero o un carattere nella parte anteriore o posteriore
  6. Parola reali di qualsiasi lingua
  7. Parola reali con alcuni caratteri sostituiti da numeri che gli somigliano. Per esempio, la sostituzione della lettera O con il numero 0. cioè PASSW0RD.
  8. Ciascuna delle precedenti in ordine inverso
  9. Una di queste, con un numero anteriore o posteriore.
  10. Una password “vuota”

IV. Alcune regole comuni sulle password, deboli o complesse che siano

Le regole elencate qui sotto non dicono nulla di nuovo ma solitamente tendiamo, la maggior parte delle volte, a ignorarle. Vi invito a seguirle scrupolosamente per aumentare la sicurezza dei vostri dati.

  1. Creare una password unica ogni volta . Quando si cambia la password di un account esistente, non dovrebbe essere la stessa password precedente. Inoltre, non usare password incrementali se si intende cambiarla, cioè password1, password2, ecc.
  2. Cambiare le password per tutti gli account una volta ogni sei mesi. Dal momento che le password hanno una lunghezza fissa, un attacco a forza bruta sarà sempre successo se il malintenzionato ha abbastanza tempo e potenza di elaborazione per predisporre l’attacco. Quindi, è sempre consigliabile modificare le password spesso. Si potrebbe anche pianificare un memo ricorrente sul calendario per cambiare le password ogni 6 mesi.
  3. Mai scrivere le vostre password in nessun luogo. Creare una password complessa e scriverla su un foglio di carta è come se si creasse una password debole e non scriverla da nessuna parte. Ci sono diversi studi interessanti fatti su questo argomento, dove si è constatato che molte persone scrivono la password e le conservano in un luogo vicino al computer. Alcuni di loro pensano che attaccare un post-it sotto il mouse pad è un’operazione abbastanza sicura. Non si dovrebbe mai scrivere la password su un foglio. Se volete portare le vostre password sempre con voi, utilizzate un password manager portable opportunamente installato in una chiavetta USB.
  4. Non condividere con nessuno. E con nessuno intendo chiunque, compresi i tuoi amici e familiari. Probabilmente avrete sentito la frase “Le password sono come le mutande, non si condividono con nessuno”.
    Insegniamo ai nostri bambini molte cose nella vita. Allora Insegniamo loro un minimo di sicurezza online ed esortiamoli a non condividere la password con nessun coetaneo.
  5. Non tenere mai la stessa password per due siti diversi. E’ forte la tentazione di creare una serie di password uguali per gestire gli accessi alle vostre e-mail, un’altra password unica per tutti i siti bancari, un’altra password per tutti i siti di social networking, ecc… Evitate questa tentazione e cercate di mantenere password univoche per tutti gli account.
  6. Non digitare la password quando qualcuno vi sta guardando, anche dietro le spalle. E’ particolarmente facile per qualsiasi individuo dietro di voi, capire quale sia la vostra password, specie se digita lentamente ciascun carattere e utilizzate un solo dito. Questo non significa fare un corso accelerato di dattilografia, ma quanto meno assicuratevi di non essere visti.
  7. Non inviare mai la tua password a nessuno viaa e-mail. Se seguite il punto 3 di cui sopra, questo punto potrebbe anche essere saltato. Tuttavia, la ragione per cui scrivo questo è perché diversi hacker inviano messaggi di posta elettronica sotto falso nome spacciandosi per banche, social network, siti per la gestione della vostra carta di credito VISA o MASTERCARD. Questi individui, attraverso dei messaggi poco chiari e molto vaghi oppure attraverso il supporto di siti web con delle interfacce simili a quelli originali, vi chiedono di inserire o comunicare i vostri dati personali di accesso, cioè il nome utente e la password. Qualsiasi azienda o organizzazione legittima non vi chiederà mai il vostro nome utente e password ne tramite e-mail ne per telefono.
  8. Cambiare la password immediatamente quando vengono compromesse. Se avete il minimo dubbio che qualcuno potrebbe aver rubato o intercettato in qualche la password, cambiatela immediatamente. Senza sprecare alcun minuto.
  9. Non utilizzare l’opzione “Ricorda password” nel browser, quando cercate di accedere ad un’area riservata. Non utilizzare questa caratteristica del browser per memorizzare il vostro username e password. Nel caso in cui si scelga l’opzione Ricorda Password, su qualsiasi browser come Firefox o Chrome, chiunque sarà in grado di scoprire facilmente tutte le password memorizzate nel browser attraverso dei semplici software.
  10. Non digitare la password su un computer che non appartiene a voi. Se possibile, non utilizzate nessun altro computer che non sia il vostro e di cui non vi fidate per accedere a qualsiasi sito web, in particolare a quei siti internet che contengono dati molto sensibili come quelli bancari. Una pratica molto comune per gli hacker è quella di installare dei keylogger (dispositivi hardware o software occultati) che registrano tutto ciò che viene digitato tramite la tastiera, comprese appunto le password.