Come scegliere password più sicure?

Per proteggere la nostra identità digitale e far sì che non ci svuotino il conto in banca, è bene scegliere chiavi di login robuste e mettere in atto alcune semplici accortezze

In un mondo informatizzato come quello moderno, il nostro alter ego digitale è rappresentato dai vari account di cui disponiamo presso i siti più importanti. Email, forum, archiviazione cloud, negozi online: ciascuno di questi richiede delle credenziali di accesso, tipicamente un nome utente e una password. La sicurezza delle nostre identità digitali dipende, dunque, dalle password che scegliamo. Ma ricordarne tante, tutte diverse, risulta difficile: per questo la tentazione di usare sempre la stessa chiave d'accesso è molto forte. Tuttavia, questa decisione è estremamente pericolosa: la prima cosa che fa un pirata quando scopre una password è provare ad usarla per cercare di entrare in altri servizi online.

Il caso Dropbox
Una delle ultime vittime eccellenti dei colossali furti di password è il servizio di cloud storage Dropbox. Il furto, però, è avvenuto nel 2012, quindi gli account creati dopo il 2012 sono esclusi da questo massiccio leak. I gestori di Dropbox hanno confermato che i 60 milioni di account sono stati effettivamente crackati, ma visto che è trascorso molto tempo è probabile che alcuni di questi account non sia più esistente o che comunque abbiano password diverse rispetto a quelle di quattro anni fa.

Per mettere al sicuro il nostro spazio cloud è opportuno abilitare la doppia autenticazione. Potremo così impedire il furto della password associando l'account al numero di telefono.
Colleghiamoci al sito Dropbox e accediamo con le nostre credenziali. Eseguito il login avremo a disposizione un menu a discesa che appare cliccando sul nostro nome. Tra le voci disponibili, quella che ci interessa è Impostazioni.

Apriamo la scheda Sicurezza: da qui potremo modificare la password in uso e visualizzare lo storico degli accessi all'account, nonché i dispositivi ad esso collegati. Se troviamo qualche browser/sistema che non ci appartiene, potrebbe essere il segnale che l'account sia stato violato.


Per attivare la verifica in due passaggi, nella scheda Sicurezza basta cliccare sul link fai click per attivare presente nella sezione Verifica in due passaggi. Prima di procedere ci viene chiesto nuovamente l'inserimento della password: inseriamola e premiamo il pulsante Avanti.


La conferma in due passaggi si fa con l'invio di un codice di sicurezza al nostro telefono o allo smartphone. Ora Dropbox vuole sapere come preferiamo ricevere il codice: può avvenire tramite SMS o con un'apposita app. Gli SMS sono universali, mentre le app funzionano soltanto sugli smartphone per cui sono state progettate.


Entrambi i metodi offerti da Dropbox sono completamente gratuiti. Naturalmente dobbiamo indicare il nostro numero di telefono: sarà a questo numero che verrà inviato il codice, per esempio sotto forma di SMS. Dopo avere inserito il numero, assicurandoci che sia selezionato il prefisso nazionale corretto, possiamo premere Avanti.


Dropbox controlla immediatamente il numero inviandoci un codice, simile a quelli che in futuro dovremo inserire per accedere all'account. Appena l'SMS arriva, digitiamo il codice di sei cifre nell'apposita casella di testo nella schermata di login al sito.


È piuttosto facile perdere un telefono, o magari romperlo e non averne uno sostitutivo in tempi brevi. Dropbox lo sa, quindi ci offre la possibilità di indicare un secondo numero di telefono, nel caso in cui il principale non sia utilizzabile. Se non intendiamo usare un numero di riserva, possiamo semplicemente lasciare la casella vuota e cliccare Avanti.


Nella malaugurata ipotesi in cui dovessimo dimenticare la password e perdere il telefono, non avremmo più modo di accedere all'account Dropbox. Per evitarlo, vengono forniti dieci diversi codici di backup. Per recuperare l'accesso all'account, nel caso, ci verrà chiesto l'inserimento di uno qualsiasi di questi codici. Dobbiamo quindi archiviarli in un posto sicuro.


La procedura è terminata: appena clicchiamo sul pulsante Attiva verifica in due passaggi, la doppia autenticazione diventa effettiva. Per provarla non dobbiamo fare altro che eseguire il logout e provare nuovamente il login all'account Dropbox. Se tutto funziona correttamente, arriverà un codice numerico sul telefono che inserimento dopo la password di accesso.


Non solo Dropbox: anche servizi come Libero Mail e PayPal permettono l'attivazione della doppia autenticazione. Li citiamo in particolare perché i furti di credenziali di questi due servizi sono molto frequenti in Italia e l'uso della doppia autenticazione può salvare i nostri account.

Tecniche di attacco
Ma come fa un pirata a scoprire una delle nostre password? Esistono diverse possibilità, ma le due più comuni sono quasi banali: può provare tutte le combinazioni possibili di lettere e numeri fino a trovare quella giusta, oppure può con qualche trucco convincere noi stessi a inviargliela.

La prima possibilità è il cosiddetto brute force: il metodo è di per sé infallibile, perché è ovvio che provando tutte le combinazioni possibili prima o poi si trova quella giusta, a prescindere da quanto complicata possa essere la password. Tuttavia, è un metodo che richiede molto tempo: ecco, dunque, che la robustezza della password è fondamentale. Una password troppo corta e facile, come "1234" oppure "alligatore3", viene scoperta molto rapidamente da un meccanismo di brute force, soprattutto se abbinato a un dizionario (significa che prima di tentare le combinazioni casuali si provano delle combinazioni di numeri e parole molto comuni).

La seconda opzione è più frequente di quanto si possa immaginare e prevede di perpetrare il furto delle credenziali utilizzando attacchi di tipo phishing. In poche parole, usando sofisticate tecniche di ingegneria sociale, i malfattori provano a convincerci a fornire i nostri dati personali. Sembra impossibile, eppure negli ultimi tempi questa particolare tecnica di attacco sta dando molte "soddisfazioni" ai pirati. Ci è mai capitato di ricevere un'email da parte di qualcuno che fingeva di essere il gestore di uno dei siti Web a quali siamo registrati, chiedendoci di indicare nome utente e password per svolgere una qualche forma di "test di sicurezza"? Probabilmente abbiamo cestinato immediatamente il messaggio riconoscendo la truffa, ma se questo tipo di email è ancora in circolazione significa che ci sono persone che continuano ad "abboccare alla trappola": nessun tipo di truffa continua ad essere perpetrata se non produce risultati. Combattere questo tipo di furti di password è abbastanza semplice: basta ricordarsi che nessun gestore di un sito Web (che sia quello della nostra banca, dell'assicurazione o di un negozio online dal quale siamo soliti acquistare) ci chiederà mai di indicare le nostre credenziali via email o su siti Web diversi da quello ufficiale.

Correre ai ripari
Se per difendersi da attacchi di tipo phishing serve solo buon senso e massima attenzione ad aprire email sospette o cliccare su link non verificati (anche su Internet vale il detto "non accettare mai caramelle dagli sconosciuti"), come possiamo scegliere una password a prova di brute force? La regola è scegliere una password molto lunga, perché maggiore è la lunghezza più tempo ci vorrà per scoprirla.
Una password composta da lettere, numeri e simboli lunga 4 caratteri ha quasi 70 milioni di possibili combinazioni, ma una password di 5 caratteri ha circa 5 miliardi di combinazioni. Provando una combinazione ogni millisecondo, la prima verrebbe trovata in circa 20 ore, la seconda in 63 giorni. Un carattere in più, quindi, fa la differenza tra una password insicura e una robusta.

Il problema delle password lunghe, però, è che sono difficili da ricordare. Ma esiste un trucco: basta usare delle frasi. Le frasi sono più facili da ricordare che non singole parole sconnesse tra loro. Inoltre, è più facile che una frase risulti lunga e scegliendole con attenzione è possibile far sì che la stessa contenga anche lettere maiuscole e numeri. Frasi con diverse parole sono anche poco vulnerabili agli attacchi a dizionario, che solitamente non riescono a mettere assieme più parole declinandole correttamente. Per esempio, le frasi "Armavirumquecano" oppure "QuelramodellagodiComo" o ancora "525600minutes525600moments" sono delle ottime password: facili da ricordare e difficili da identificare tramite brute force. Per scoprire, tramite brute force, una password da 10 caratteri sono infatti necessari degli anni, anche utilizzando più di un processore alla volta. Con frasi di lunghezza adeguata possiamo dunque essere sicuri che nessuno scoprirà la nostra password, a meno che naturalmente non siamo noi stessi a commettere l'errore di comunicargliela.

Regole d'oro per non farsi fregare sul Web
Nessuno può considerarsi al sicuro da un furto di password; per questo motivo è importante prendere delle semplici precauzioni, di seguito sintetizzate, per evitare che il Web possa crearci problemi.

1) Creare più indirizzi email - Uno da non comunicare a nessuno e da usare solo per iscriversi a siti importanti (Amazon, eBay, PayPal eccetera); un altro da usare per iscriversi a siti di vario genere (blog, forum online ecc.); e almeno un terzo da comunicare ad amici e colleghi per mantenersi in contatto. In questo modo, un'eventuale perdita di credenziali degli account più "pubblici" non intaccherà la sicurezza di ciò che conta davvero;

2) Impostare un numero di telefono per il recupero - Scoperta la password di un account, il pirata la modifica per impedirne l'accesso al legittimo proprietario. Solitamente, però, non può modificare il numero di telefono associato all'account e grazie ad esso potremo recuperare l'account stesso;

3) Crittografare i file importanti - Se siamo abituati a usare servizi come Google Drive per caricare online dei file confidenziali, conviene crittografarli prima di inviarli su Internet (meglio se con un programma come Cryptopha-ne. In questo modo, un eventuale malintenzionato non potrebbe comunque leggerli;

4) Non archiviare mai le password in chiaro - Qualcuno ha l'abitudine di inviarsi email contenenti le password d'accesso ai siti ai quali si è registrato. Pessima idea! Se qualcuno riuscisse ad entrare nell'account email avrà accesso automatico anche a tutti gli altri siti;

5) Non caricare sul Web di tutto e di più - In generale, ciò che carichiamo sul Web non è più da considerare privato (eventuali immagini personali potrebbero diventare di pubblico dominio anche contro il nostro volere, così come un stato "privato" su Facebook potrebbe essere letto comunque da altre persone). In altre parole, se una cosa è privata non carichiamola sul Web, a prescindere dalle promesse di garanzia della privacy del sito Web o del gestore di storage online.

A rischio anche le password di Windows
In realtà, non sono solo i servizi online come Dropbox, PayPal, Gmail ecc. ad essere protetti da password; i nostri PC lo sono da sempre. Purtroppo, le chiavi di accesso a Windows, il sistema operativo più diffuso al mondo, sono sempre state piuttosto fragili. Windows NT (il moderno kernel), infatti, memorizza le password sotto forma di hash, ma esistono algoritmi che permettono di scoprire o modificare la combinazione in pochi secondi. Finora è sempre stato necessario utilizzare delle pendrive avviabili che richiedevano il riavvio del PC, ma ora il ricercatore Rob Fuller ha sviluppato un metodo basato su un piccolo computer da collegare al PC tramite porta USB e che è in grado scoprire la maggioranza delle password in appena 20 secondi. Questo significa che se qualcuno si assenta dalla scrivania, bloccando lo schermo del PC, un malintenzionato potrebbe comunque scoprire la password in meno tempo di quanto è necessario per prendere un caffè. Per fortuna i rischi sono comunque limitati, visto che gli unici interessati a un attacco di questo tipo sono gli eventuali colleghi di lavoro: un vero malintenzionato ruberebbe direttamente l'intero computer e ne controllerebbe il contenuto con calma.
Notizie collegate
  • AttualitàDropbox, password datate ma autenticheEmergono nuovi dettagli sulla mega-breccia subita anni or sono dal servizio di cloud storage: la veridicità delle credenziali di accesso è confermata. I rischi per gli utenti? Molto bassi, a quanto pare
  • SicurezzaDifendersi dal phishingStrana e-mail da banche e servizi online? Potrebbe trattarsi di tentativi di truffa. Ecco alcune dritte per scongiurare il pericolo e smascherare i malfattori
9 Commenti alla Notizia Come scegliere password più sicure?
Ordina