L’IMPORTANZA DI SCEGLIERE PASSWORD SICURE
Quale password scegliere per i nostri dispositivi / account?
Nel corso degli anni si sono evoluti i sistemi di attacco alle password, l’ingegneria sociale e la trafugazione di credenziali. Di pari passo si devono evolvere anche i sistemi di creazione delle password degli utenti: i sistemi utilizzati nel recente passato per creare password sicure non sono più del tutto attendibili e non sempre validi.
La recente introduzione di nuovi sistemi di autenticazione, – di dubbia efficacia, – come ad esempio la lettura delle impronte digitali o il riconoscimento dell’iride, abbassano ulteriormente la stanghetta della sicurezza dei dispositivi, contrariamente a quanto spesso comunemente pensato, purtroppo, anche dalle grandi case che li producono. I cosiddetti sistemi di riconoscimento biometrici, infatti, sono facilmente attaccabili.
Le vulnerabilità dei sistemi di riconoscimento biometrici
Pensate alla letteratura cinematografica che si trova a riguardo: (cinema che spesso è fonte di ispirazione per le “direzioni” del futuro della tecnologia, anche negativamente) dai film di 007 agli X-men i cyber-criminali si sono sempre divertiti a mozzare dita per usare le impronte digitali o scavicchiare occhi per usarne l’iride per ottenere l’accesso a chissà quale stanza segreta. Senza voler essere così brutalmente splatter, le impronte digitali vengono lasciate sopra ogni superficie di vetro e facilmente copiabili, il riconoscimento facciale si può estrapolare da qualsiasi foto che (volontariamente) lasciamo sui social network, e così via. Le modalità per violare questi sistemi di accesso sono limitati solo dalla fantasia (e violenza) dell’attacante.
Username e password: 123stella
La prassi più utilizzata dagli utenti comuni rimane dunque la coppia username e password. Fino ad oggi ci hanno suggerito di inserire un minimo di 8 caratteri, cosa che gli utenti mediamenti prendono alla lettera, utilizzando esattamente 8 caratteri, informazione utile a semplificare di molto la vita a chi cerca di effettuare un attacco di forza bruta o di dizionario sulla nostra parola chiave (conoscendone la lunghezza esatta, infatti, è più semplice attaccare una password, piuttosto che ignorandone la lunghezza). Ma spesso al malintenzionato di turno non serve nemmeno cercare di attaccare la password. Vi faccio un esempio: le date di nascita sono composte esattamente da 8 caratteri (ggmmaaaa), cosa che attira l’utente ingenuo ad affidarsi a questo tipo di password, la data di nascita è spesso reperibile su qualsiasi social network, peraltro.
Password impossibili!
Quindi, la logica conseguenza di queste considerazioni è stata per anni la convinzione che una password più lunga e complessa sarebbe più sicura (uso il condizionale, dopo spiego il perché).
Tuttavia una password con queste specifiche caratteristiche, risulta molto complicata da ricordare, così che gli utenti spesso finiscono per scriverla da qualche parte (il classico post-it attaccato sul monitor, destinato a diventare un fogliettino volante), di fatto esponendo a qualsiasi “guardone” di passaggio le proprie credenziali.
Gli utenti che vengono “forzati”, ad esempio dai siti a cui si iscrivono, ad usare password lunghe e alfanumeriche, utilizzano spesso software per la generazioni di tali stringhe, la robustezza della randomizzazione dei quali non è mai messa in discussione: i mezzi cracker si sono evoluti esponenzialmente rispetto a un tempo, spesso riescono a violare password complesse in tempi non troppo lunghi.
Cambiate password spessissimo, ma anche no…
Non troppo geniale nemmeno l’idea suggerita per anni da molti esperti del settore secondo cui sia indispensabile cambiare la password periodicamente. Il punto debole di questa pratica è, come quasi sempre, l’utente stesso, che tende a scegliere password sempre molto simili alla precedente nel (pigro) tentativo di facilitarne la memorizzazione.
Caratteri $P€C!@L!
Per aumentare la complessità delle password spesso si aggiungono, giustamente, caratteri non alfanumerici (i cosiddetti i caratteri speciali). Questa rimane un’ottima prassi che di fatto complica di molto il lavoro degli attaccanti (e delle loro CPU), sia che usino un dictionary attack, sia un brute force. Tuttavia alcuni siti non permettono l’inserimento di caratteri speciali nella propria password, semplificando la vita ai malintenzionati.
La mia password è sicura, ma lo è anche il database che la archivia?
Questo mi porta al successivo punto nell’analisi della sicurezza delle password: l’archiviazione delle password lato server. Spesso sono proprio i database dei siti internet a cui ci registriamo ad essere violati, mostrando così all’attaccante tutte le password in chiaro degli utenti. Se volete controllare quale sito a cui vi siete registrati è stato violato, vi basta inserire il vostro indirizzo email di registrazione in questo database per essere avvisati in caso di trafugazione di credenziali (passate e future): haveibeenpwned.
Autenticazione a due fattori
Altra importante funzione utilizzata di recente è l’autenticazione a due fattori, che obbliga l’utente a combinare un sistema classico di credenziali a un secondo strumento di verifica generato da uno strumento in suo possesso (qualcosa che sai e qualcosa che hai), ad esempio un token fisico (meglio) che uno smartphone (sconsigliato, in quanto violabile).
Anche gli sms, fin troppo utilizzati, si sono dimostrati non sempre affidabili come secondo fattore di autenticazione, vista la possibilità che siano intercettati, camuffati o estorti tramite ingegneria sociale.
L’unica password inattaccabile
Un altro consiglio sempre valido è quello di non usare la stessa password per più servizi. L’ovvio motivo è che, per quanto complicata e difficilmente attaccabile sia, se un malintenzionato riesce ad ottenere la parola chiave sfruttando uno dei sistemi sopra descritti, potrà utilizzarla per accedere a tutti i servizi per cui è utilizzata!
Ma quindi? T_T
In conclusione, non esiste un sistema di autenticazione perfetto, esattamente come non esiste una cassaforte sicurissima, né una serratura inviolabile. Esiste il buon senso e la conoscenza. L’unione di queste due è la miglior difesa per mettere in sicurezza i propri dispositivi, ma anche contro buona parte dei problemi del mondo.
E se sono entrati nel mio account!?
La prima cosa da fare è: niente panico. Affidarsi a un esperto è sempre la soluzione migliore. Si dovrà verosimilmente cambiare la password e eventualmente segnalare l’abuso alla Polizia Postale.