Password. Alzi la mano chi non le odia. In particolare, chi non odia la propria password. Sappiamo che sono un male inevitabile, ma crearne di sicure è un vero delirio. Usa lettere maiuscole e minuscole. Usa i numeri. Usa i simboli. Non usare parole del dizionario. Non usare frasi di senso compiuto e bla, bla, bla.

E così ci si ritrova con password del tipo M@5t3Rp@$$w0rd1967.

E come si fa a ricordare una password simile?

E se invece ti dicessimo che laguna alza abisso donato odioso vaso vedovo rappresenta una password ben più sicura di M@5t3Rp@$$w0rd1967?

Questo tipo di password è detto passphrase e non è altro che una sequenza casuale di parole comuni. È molto più facile da ricordare delle "password convenzionali" e al tempo stesso molto più difficile da violare per gli hacker. Perfetto!

Prima di entrare nei dettagli relativi alla creazione della nostra passphrase, forse ti starai chiedendo perché è necessario. Sono poi così vulnerabili le password attuali?

Devo proprio modificare tutte le mie password?

In una parola: sì. Come per la maggior parte delle persone, probabilmente la tua password non è molto sicura. Usare una password facile da indovinare ti rende più vulnerabile agli attacchi degli hacker

Come? Gli hacker utilizzano diversi metodi.

  • Tentativi con le password più comuni: gli hacker riescono a trovare facilmente il modo per introdursi negli account provando alcune delle password più comuni, come 123456 o la stessa parola password. Se utilizzi una di queste password e il tuo account non è ancora stato violato, faresti bene a comprare un biglietto della lotteria, perché sei una delle persone più fortunate al mondo. 
  • Attacchi di forza bruta: se il tuo nome utente e la tua password vengono esposti durante una fuga di dati, gli hacker possono utilizzare i cosiddetti "attacchi di forza bruta" per decrittare i dati. Utilizzando un programma, utenti malintenzionati possono provare tutte le password possibili (testando centinaia di migliaia di possibili opzioni) fino a quando non individuano quella giusta. Anche se hai usato una combinazione di lettere maiuscole e minuscole e caratteri speciali, le tecnologie moderne consentono di violare una password di 8 caratteri in circa due ore (!).
  • Riciclo di credenziali: una volta che gli hacker o gli spammer hanno scoperto il nome utente e la password di un account, possono facilmente provare queste credenziali in tutti gli altri account dello stesso utente. Se hai riciclato le credenziali (ovvero, se hai usato lo stesso nome utente e la stessa password per altri siti o servizi), gli autori dell'attacco avranno trovato la chiave d'accesso a tutti i tuoi account che condividono queste credenziali.

Quindi, che cosa ci vuole per battere gli hacker? Quale tipo di password è da considerare sicura? Anche se può essere fastidioso, è davvero necessario aumentare la lunghezza e la complessità delle password e utilizzare password univoche per ciascun account.

Ma non disperare: è più semplice di quanto si possa pensare, utilizzando le passphrase.

Che cos'è una passphrase?

Come abbiamo accennato, una passphrase è una raccolta di parole comuni combinate insieme in modo casuale all'interno di una frase. Ricorda, un esempio di passphrase è una frase tipo laguna alza abisso donato odioso vaso vedovo.

Le password migliori sono quelle che sono 1) semplici da ricordare e 2) difficili da violare per gli hacker. Le passphrase sono le password migliori perché utilizzano parole reali che puoi ricordare facilmente (piuttosto che un insieme di lettere e simboli) e sono molto lunghe, quindi difficili da violare con attacchi di forza bruta o altre tattiche.

L'unico problema è che le parole comuni nella passphrase devono essere davvero in ordine casuale per rappresentare una password sicura.

Per fortuna un metodo c'è. Bastano pochi minuti e dei dadi...

Come creare una passphrase

Creare una passphrase è semplice. L'importante è non scegliere in autonomia le parole. Il cervello umano infatti è notoriamente poco abile nel creare una vera casualità. Amiamo troppo gli schemi e tutte le nostre parole hanno un significato, il che rende indubbiamente difficile generare passphrase veramente casuali.

Invece di utilizzare un generatore online di passphrase casuali, puoi procedere autonomamente. È consigliabile utilizzare Diceware, un metodo per la generazione di passphrase sviluppato dall'esperto IT Arnold Reinhold. Il metodo prevede l'impiego di un semplice elenco di 7.776 parole, ciascuna delle quali corrisponde a un numero di 5 cifre ottenibile lanciando un dado.

È molto più semplice di quanto non appaia. Ecco qualche indicazione:

  1. Scarica l'elenco di parole Diceware in italiano. Può essere aperto da qualsiasi editor di testo.
  2. Lancia un dado cinque volte, oppure lancia cinque dadi una volta sola, e segna i numeri in ordine.
  3. Trova la parola corrispondente al numero uscito e scrivila.
  4. Ripeti l'operazione fino a ottenere 6 o 7 parole.

Tutto qui.

Così, se ad esempio lanci il dado cinque volte e ottieni il numero 34462, passando in rassegna l'elenco troverai:

34456

 

latrai

34461

 

latri

34462

 

latro

34463

 

lattai

34464

 

latte

34465

 

lauree

34466

 

lava

34511

 

lavabi

troverai la parola lattai.

Ripeti il procedimento fino a selezionare almeno sei parole.

Aggiungi liberamente simboli, maiuscole o numeri a tuo piacimento. Questo aumenterà la complessità della passphrase, senza contare che la maggior parte dei servizi con pretese di sicurezza richiede che la password contenga simboli speciali.

Fai tuttavia attenzione a non ritrovarti in queste due, seppur rare, situazioni:

  • Sono uscite parole talmente corte che la tua passphrase contiene meno di 17 caratteri.
  • Hai ottenuto un qualche tipo di frase di senso compiuto.

In entrambi i casi, ripeti da capo l'intera procedura.

Ricorda che, con questo metodo, sono i dadi a decidere la passphrase casuale che uscirà. Quindi non falsificare i risultati perché ritieni che due parole suonino meglio di altre insieme Rischieresti di creare degli schemi (e indebolire la complessità della passphrase).

Esistono diversi elenchi di parole in inglese tra cui puoi scegliere e in molte altre lingue e mescolare gli elenchi è un ottimo modo per creare passphrase ancora più sicure.

Annota la passphrase ottenuta su un foglio di carta fino a quando non sarai sicuro di averla memorizzata. Dovresti assimilarla dopo qualche volta che la utilizzi. Se hai difficoltà a farlo, puoi creare una storia per fare in modo di ricordarla più facilmente.

Ad esempio: La laguna alza l'abisso donato da un odioso vaso disse il vedovo

Questo è il trucco utilizzato dai campioni di memoria. Una volta che avrai memorizzato la tua passphrase, distruggi il foglio su cui l'hai scritta.

È possibile automatizzare il metodo dei dadi?

Sì. In realtà, esistono moltissimi generatori di passphrase Diceware come quello che trovi qui.

Tuttavia, tieni presente che sebbene i generatori come questo siano comunque molto sicuri, i computer non sono mai perfettamente casuali nella loro logica, pertanto non saranno mai altrettanto sicuri quanto lanciare i dadi fisicamente per ottenere la passphrase.

Posso utilizzare questa passphrase dappertutto?

No, questo non va assolutamente fatto.

Ripetere password o passphrase per servizi diversi è una delle cose peggiori che puoi fare per la tua sicurezza. Come già accennato, basta che un account venga violato perché vengano violati anche tutti gli altri.

L'ideale sarebbe utilizzare una passphrase come master password per un gestore di password, il quale potrà quindi creare password lunghe casuali, diverse per ciascun account, tenendo traccia di tutte per conto tuo. Non dovrai più scervellarti per trovare sempre nuove password: il programma si occuperà di tutto automaticamente! Ormai esistono moltissimi gestori di password gratuiti o con prezzi contenuti, per cui non c'è davvero alcun motivo per non provarne uno.

Se non vuoi utilizzare un gestore di password, dovresti eseguire altri due passaggi:

  1. Crea una passphrase per i tuoi account più importanti e aggiungi quindi dei modificatori
    Possono essere semplici forme abbreviate oppure il nome completo del servizio specifico. Utilizzando l'esempio riportato sopra, potresti ottenere:
    G@G1 laguna alza abisso donato odioso vaso vedovo Oppure
    laguna alza abisso donato odioso vaso vedovo Facebook1@
  2. Crea una seconda passphrase per tutti gli account usa e getta
    Ma anche gestire due passphrase può essere una seccatura, per cui il nostro consiglio è di utilizzare un gestore di password.

Non occorre fare altro. A questo punto possiedi una delle password più sicure possibili. Vai tranquillo e divertiti sul Web…

…ma se vuoi saperne di più sulle passphrase e conoscere un altro modo per ottimizzare la sicurezza, continua a leggere.

Password sicure: riepilogo

Tutti i consigli tradizionali in merito alle password non sono sbagliati in realtà. Tuttavia, senza entrare troppo nel tecnico, una password sicura presenta due requisiti essenziali:

  • Deve essere lunga, molto lunga. Il minimo dovrebbe essere 17 caratteri. Per stare sicuri anche per il futuro, è meglio creare password di oltre 20 caratteri.
  • Deve essere casuale: Gli hacker sono bravissimi nel riconoscere gli schemi e nel realizzare strumenti in grado di individuarli.

Tutto qui.

Torniamo all'esempio originale, M@$t3Rp@$$w0rd1967. Potrebbe sembrare una password sicura e molti strumenti di controllo delle password come questo ti diranno che lo è. Ma non avrebbe nessuna possibilità contro gli hacker di oggi, in quanto si tratta di una password con una struttura molto semplice, ovvero due parole + una data.

Non solo sono due parole molto comuni ("master" e "password"), ma vanno spesso a braccetto. Inoltre, le sostituzioni fatte sono prevedibili e facili da individuare: A al posto di @, S al posto di $ e così via. E quando le persone aggiungono dei numeri alle password, tendono a farlo alla fine e a utilizzare un PIN o una data, solitamente quella di nascita.

Gli hacker conoscono tutti questi trucchi e sono i primi che mettono alla prova. Inoltre utilizzano dei computer a tale scopo, mentre noi abbiamo difficoltà a ricordare quale lettera abbiamo scritto maiuscola e dove abbiamo aggiunto la @.

Ecco una divertente illustrazione di come molte persone ottengono l'effetto contrario quando cercano di creare una password sicura:Questo fumetto mostra come si ottiene l'effetto contrario quando si cerca di creare una password sicura.

Quindi, prendi un paio di dadi e mettiti al lavoro per creare una password davvero sicura per proteggere i tuoi account.

Come aumentare ancora di più la sicurezza

Dopo aver creato la nuova passphrase, forse ti chiederai se puoi fare qualcos'altro per proteggere i tuoi account. Sì, in effetti puoi!

Anche se hai la password migliore al mondo, puoi aumentare ulteriormente la sicurezza utilizzando la cosiddetta autenticazione a due fattori, che richiede un secondo sistema di verifica dell'utente oltre alla password.

L'identificazione a due fattori di solito usa uno di questi tre elementi:

  1. Qualcosa che conosci: potrebbe essere un codice PIN o altre informazioni, ad esempio risposte a domande di sicurezza.
  2. Qualcosa che hai: ad esempio, il telefono (che può ricevere un codice di autenticazione tramite SMS) o la tua carta di credito fisica (che puoi verificare utilizzando il codice CVV sul retro).
  3. Qualcosa che ti rappresenta: dati biometrici, ad esempio l'impronta digitale.

Potrebbe sembrare complicato all'inizio, ma probabilmente, come la maggior parte delle persone, usi l'identificazione a due fattori già da tempo. Ad esempio, ogni volta che prelevi denaro dal bancomat, unisci qualcosa che hai (la carta bancaria) a qualcosa che conosci (il PIN).

Analogamente, puoi abilitare l'autenticazione a due fattori nella maggior parte dei tuoi account online: il provider di posta elettronica, gli account dei social media e (soprattutto!) l'online banking devono tutti offrire l'autenticazione a due fattori. Spesso il servizio ti invia tramite SMS un PIN monouso quando tenti di accedere o di eseguire una transazione bancaria.

Vuoi sapere quali dei tuoi account offrono l'opzione dell'autenticazione a due fattori? Puoi controllare questo elenco master e perfino richiedere che un determinato sito aggiunga l'autenticazione a due fattori se non offre ancora questa opzione.

L'autenticazione a due fattori richiede qualche secondo in più per accedere, ma fidati: ne vale la pena.

Trova la tua passphrase semplice da ricordare, uno strumento di gestione delle password e l'autenticazione a due fattori e sarai al sicuro come in una cassaforte. Fatto!

AVG AntiVirus FREE Download GRATUITO