Cybersecurity: come creare una password sicura e a prova di hacker

2 agosto 2023

Sommario

    A un hacker adesso bastano 5 minuti per violare una password e infiltrarsi in account personali e aziendali. Questi tempi continuano a diminuire, visto che solo un anno fa, per intercettare una password dello stesso tipo servivano ben 8 ore.
    Per questo diventa sempre più necessario scegliere una password sicura e robusta.

    Cybersecurity: la password sicura non esiste più?

    Gli attacchi informatici sono in continuo aumento. E gli hacker utilizzano sistemi sempre più raffinati per compiere le loro azioni, a partire dalla violazione delle password.

    Ad accendere il campanello di allarme sono i dati forniti dall’azienda americana di cybersecurity Hive System.
    Nel 2022 un hacker aveva bisogno di 8 ore per individuare una password con 8 caratteri, composta con numeri, caratteri speciali, lettere maiuscole e minuscole. Adesso questo tempo si è ridotto a 5 minuti. Se i caratteri diventano 10, il tempo passa a 2 settimane (quando nel 2022 ci sarebbero voluti 5 anni). L’accelerazione è evidente e crea preoccupazione.

    I dati forniti dalla Hive si riferiscono tra l’altro ad attacchi semplici, cioè rivolti a password mai utilizzate in precedenza.
    Il lavoro di un hacker diventa ancora più semplice se deve individuare password già violate in precedenza (es. quando un utente usa la stessa password su più account).
    In pratica risparmiare sulle password, per pigrizia o timore di non ricordarle, è come lasciare le chiavi di casa (o dell’azienda) inserite nella porta.

    Come proteggere i dati aziendali e quelli di propri Clienti? Di seguto trovi un vademecum basato sui consigli di esperti come il NIST (National Institute of Standards and Technology) e dell’università di Stanford.

    Password sicura: i 6 errori da evitare

    Prima di tutto è importante individuare gli errori frequenti che rendono più facile il lavoro di hacker e malintenzionati. Ecco 6 errori molto diffusi:

    1. Creare password con struttura prevedibile

    I caratteri e la struttura delle password sono il primo baluardo contro gli attacchi hacker.
    Se vuoi rendere la vita difficile ai malintenzionati, evita di creare password contenenti:

    • sequenze di caratteri (qwerty, 123456)
    • parole ripetute (ciaociao)
    • modifiche ovvie alle parole (Pizzeria → P1zz3r1@)
    • numeri e caratteri speciali alla fine della password (solitamente “!” e “@”)
    • maiuscola come primo carattere

    2. Password riconducibili all’Utente o al servizio

    Non inserire informazioni personali (nome, data del compleanno) o legate al servizio (nome del Fornitore o del servizio) nelle tue password.

    3. Utilizzare la stessa password su molti siti

    Il password reuse, cioè il riutilizzo delle password, è tanto diffuso quanto pericoloso. È molto importante evitare di utilizzare le stesse password per siti web diversi: se una di esse viene compromessa, potrebbe essere sfruttata sugli altri siti.

    4. Variazioni di altre password

    Gli esperti sconsigliano anche di apportare minime variazioni, come cambiare una lettera o un numero, a una password esistente o utilizzata in passato.

    È necessario creare password completamente nuove, in modo che non siano collegabili a quelle già utilizzate per altri servizi.

    5. Utilizzo di password di default

    Non utilizzare password di default, cioè quelle rilasciate da un sistema o da un servizio la prima volta che ci registriamo, ma cambiarle sempre impostandone una personale.

    6. Conservare o condividere le password in modo non sicuro

    Hacker e malintenzionati potrebbero avere accesso ai tuoi device senza che tu ne sia consapevole (es. attraverso spyware). Quindi non scrivere le password su appunti, note di Outlook, file sul computer o telefono. Evita anche di condividerle con altre persone e inviarle tramite mail o sistemi di messaggistica.

    Come si crea una password sicura

    Applicare le buone pratiche suggerite dagli esperti informatici per la creazione e la gestione delle password permette di tutelare la sicurezza e ridurre lo sforzo mnemonico per ricordarle. 

    Scegliere una lunghezza adeguata per la password

    Per massimizzare la sicurezza della password, è meglio scegliere lunghezze maggiori. La tabella di Hive dimostra che una password di sole 16 lettere minuscole è molto più sicura rispetto a una di soli 8 caratteri, ma che include numeri, lettere e caratteri speciali (per hackerarla servirebbero 713 anni).

    Una buona pratica è creare password basate su una combinazione di quattro (o più) parole completamente slegate tra loro, come ad esempio “aranciata Aquila 3chiavi 2scarpe”.

    Usare un gestore di password

    Creare una password sicura non basta, questa va anche protetta!

    Per questo gli esperti consigliano l’utilizzo di un password manager, cioè un gestore di password.
    Questi programmi e app sono vere e proprie cassaforti “virtuali” che possono archiviare password e credenziali proteggendole con sistemi di criptazione avanzati (es. le password arrivano già criptate anche a chi gestisce la app).

    Grazie ai password manager è possibile:

    • creare password sicure, perché lunghe e complesse
    • memorizzare numerose password, una per ogni servizio
    • eliminare la necessità di ricordarsi le password (basta non dimenticare quella di accesso al gestore)
    • salvare in modo sicuro le proprie password.

    Utilizzare token OTP e autenticazione a più fattori

    L’utilizzo di one-time-password (OTP) è ormai familiare a tutte le persone che utilizzano servizi bancari digitalizzati. Questi sistemi che generano password temporanee (spesso accompagnate da un PIN conosciuto solo all’utente) possono essere utilizzati anche nelle aziende.

    Un altro sistema di protezione è l’autenticazione a più fattori che permette l’accesso solo dopo l‘inserimento di una password e di un codice usa e getta comunicato tramite SMS o mail.
    Questo sistema, dove disponibile, consente di proteggere l’accesso ai servizi anche in caso di compromissione della password.

    One-time-password e autenticazione possono naturalmente essere utilizzate in maniera combinata.

    Proteggere la propria casella mail

    In questi casi è molto importante anche proteggere la propria casella di posta dato che la mail è il mezzo più diffuso per recuperare le password definite sui vari servizi, meccanismo che può essere abusato da malintenzionati.

    Password sicura: come risparmiare tempo

    La gestione delle password crea preoccupazioni e perdite di tempo (ad esempio quando dobbiamo recuperare una password dimenticata).
    In caso di violazione di un account si aggiungono anche rischi di compromissione dei sistemi aziendali, con conseguenti costi e danni di immagine.

    Seguire le buone pratiche sopraindicate permette di creare password robuste (lunghe, complesse e uniche) per ogni servizio e ricordarle senza sforzo.
    Adottare gli strumenti adeguati (password manager, generatori di password) riduce infatti al minimo il numero di password da ricordare (gestore di password, account email e pin del sistema OTP).

    Utilizzare una password sicura (e invitare i propri colleghi a farlo) è un primo passo per proteggere i dati aziendali dai cybercriminali. 

     

    Iscriviti alla Newsletter

    Inserisci i tuoi dati per rimanere aggiornato
    Informativa sulla privacy

    Le informazioni fornite saranno trattate per le finalità di cui al numero 6 dell'informativa sulla privacy.

    ISCRIVITI ALLA NEWSLETTER