Non c’è bisogno di imbattersi nell'ira di Anonymous – in questi giorni autori di un furto di 15 mila credenziali di accesso a un sito di propaganda nordcoreano – per cadere vittima del furto di una password. Colpa di cybercriminali sempre più abili e di botnet che riescono, dopo innumerevoli tentativi eseguiti a raffica, a risalire alle parole chiave che proteggono caselle email, account bancari, profili sui social network e altre mille attività online.
“La migliore difesa è l’utilizzo di password forti”: così Verizon ha sintetizzato la propria visione del problema. Ma che cosa significa “forte”? Le regole per la costruzione di una sequenza alfanumerica efficace contro gli hacker sono in parte note, e sempre più spesso i siti stessi integrano strumenti per misurare, nell’istante stesso della registrazione, il grado di sicurezza della propria scelta. Ma dilagano ancora comportamenti dettati da false credenze e ingenuità, motivo per cui Verizon ha stilato un decalogo di consigli per gestire e mettere al sicuro i propri account protetti da password.
The Password Meter, uno fra gli strumenti per testare la sicurezza delle password
Primo:
mantenere le password segrete. Ovvero non svelarle a persone fisiche, se non estremamente fidate, ma evitare anche di permettere ai siti Web di ricordare il proprio profilo, specie se si naviga da Pc o altri device non di proprietà.
Secondo:
modificare regolarmente la propria password. Ecco una regola risaputa, ma generalmente poco seguita: alzi la mano chi si ricorda di farlo una volta ogni due mesi, come da suggerimento di Verizon, o comunque non meno di due volte all'anno, intervallo massimo per assicurarsi una soglia di sicurezza di base.
Terzo:
creare username e password diverse per ogni login o applicazione che si vuole proteggere. Vincendo la pigrizia di dover inventare combinazioni nuove e allenando la memoria (o magari usando un’applicazione di gestione delle password) si evita il rischio di veder espugnati più account in un solo colpo, in caso di hackeraggio. Verizon ricorda inoltre di utilizzare password di
almeno otto caratteri, che accostino maiuscole e minuscole, lettere, simboli e numeri.
Quarto:
evitare di scrivere le password o di conservarle in un documento Word o file di testo. Un comportamento che potremmo accostare all’abitudine di lasciare la chiave sotto lo zerbino: se il ladro scova il nascondiglio (e se il nascondiglio è ovvio), il furto è assicurato. Piuttosto, se non ci fidiamo della memoria il consiglio di Verizon è quello di utilizzare strumenti per la gestione delle password oppure selezionare una passphrase o ancora una combinazione di parole che sia facile da ricordare.
Quinto:
non digitare le password su computer non controllati, su
reti WiFi aperte o su una
pagina Web raggiungibile da un link di una email. Il buon senso dovrebbe fungere da deterrente verso i comportamenti appena elencati, ma – di nuovo – alzi la mano chi non l’ha mai fatto.
Sesto: limitare il numero delle informazioni personali pubblicate in rete e
non comporre password contenenti informazioni personali identificabili, come data di nascita, indirizzi, nomi di parenti o di animali domestici.
Settimo:
evitare di utilizzare più volte la stessa password o di fare modifiche minime a quelle già utilizzate in precedenza. Un consiglio che si ricollega a quello sulla necessità di modificare con frequenza le parole chiave, e di farlo in modo efficace, per esempio utilizzando caratteri simili (es. S e $), sostituzioni fonetiche (es. “Luv 2 Laf” per “Love to Laugh”) e lettere casuali tratte da libri o targhe.
Ottavo:
evitare di utilizzare come password titoli di libri, film, poesie, canzoni o luoghi ed eventi, acronimi comuni (es. Nasa) e parole straniere (come la traduzione di “benvenuto”, magari associata a un numero).
Nono: utilizzare combinazioni fantasiose,
variando il carattere, aggiungendo caratteri casuali, numeri non in sequenza e alternanze di maiuscole e minuscole.
Decimo:
verificare la password con strumenti gratuiti, come
The Password Meter e
How Secure Is My Password?, per controllare se è in grado di sostenere tentativi di cracking. È anche possibile utilizzare un generatore casuale di parole chiave, come quello sviluppato da
IObit.