Il 4 maggio si celebra il World Password Day 2023, una giornata internazionale per ribadire l’importanza di password forti, mai condivise e memorizzate con un solido password manager.
“Le password vengono rubate”, commenta Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit, l’associazione italiana per la sicurezza informatica, “e chi le ruba non le tiene sotto il materasso, ma le mette in vendita. Come non dobbiamo farci rubare le chiavi di casa, così dobbiamo proteggere le password, che sono le chiavi della nostra casa o della nostra azienda. Nessuno uscirebbe di casa lasciando le chiavi di casa sulla porta”. O sotto lo zerbino.
Ecco come scegliere le password e come proteggerle con un password manager, da scegliere con cura e non riutilizzare, ricordando che le credenziali compromesse sono la seconda maggiore causa di cyber attacchi, dopo le vulnerabilità non risolte. “Se proteggi i tuoi dati proteggi stesso” è anche l’invito del Garante Privacy.
Indice degli argomenti
World Password Day 2023: come sceglierle
“Password” è la più diffusa, seguita da 123456. Ma Security.org ricorda che il cracking di una password standard contenente otto caratteri avviene quasi all’istante. Se alla password standard si aggiunge una lettera maiuscola, il tempo per decifrarla sale a 22 minuti. Sfiora i 60 minuti il cracking di una lettera maiuscola combinata con un carattere speciale.
“Secondo il report sui data breach di Verizon, l’81% delle violazioni degli account sono causati da password deboli o password rubate”, spiega Sbaraglia.
Il World Password Day 2023 del 4 maggio è dunque l’occasione per ricordare che, secondo Security.org, il 45% degli utenti usa password di appena 8 caratteri. “È come se mettessimo il nostro conto corrente, il nostro allarme di casa, i nostri dati sanitari – per fare solo qualche esempio – in una cassaforte e lasciassimo la chiave in vista poco distante. Prima o poi qualcuno la utilizzerà”, aggiunge Alessio Pennasilico, del Comitato Scientifico Clusit.
Cento password in media
Intel creò la Giornata Mondiale della Password, nel 2013 per alzare il livello di consapevolezza sul ruolo che password forti. E ben conservate (non su un foglio nel portafoglio accanto alla carta di credito o sul browser di fiducia). Le password forti giocano un ruolo nel rendere sicura la nostra vita digitale.
Una vita “in cui in media siamo iscritti ad almeno cento servizi digitali, e, se gestiamo correttamente, dovremmo avere 100 password tutte diverse da ricordare”, continua Sbaraglia: “Tutte diverse, se abbiamo la consapevolezza di differenziarle per ogni servizio. E scelte con cura: lunghe almeno 12 caratteri, complesse. Inoltre, per ogni servizio dobbiamo attivare l’autenticazione a più fattori“.
Password complesse e articolate
Cambiare e inventare nuove password rappresenta dunque una sfida per gli utenti, che, quando hanno scarsa consapevolezza, ne usano una uguale per tutti i propri dispositivi e app. Ma così rischiano di mettere a repentaglio la propria sicurezza e quella dell’azienda dove lavorano.
“Il password manager rimane la soluzione più solida, in attesa dell’era passwordless: un giorno, forse, entro il prossimo decennio, saremo senza password, grazie alla biometria, ma finché esistono le password dobbiamo imparare ad usarle bene”, mette in guardia Sbaraglia: “Il password reuse ovvero il riutilizzo della stessa password per account differenti è il peggior errore che si può commettere. Il 73% delle password sono riutilizzate, secondo un report di Microsoft, errore gravissimo”.
Basta un data breach, per portare l’abbinamento userid e password “nel dark web, dove la combinazione username/password è in vendita a 500 dollari circa”.
Inoltre “i cyber criminali effettuano attacchi di credential snuffing (letteralmente: riempimento delle credenziali)”, sfruttando il fatto che le persone usano le stesse credenziali per accedere a più applicazioni, siti e servizi, per rubare l’identità digitale delle loro vittime.
Meglio autenticazione sicura e biometria
“Alla luce delle tecnologie oggi disponibili”, conclude Pennasilico, “è doveroso abbandonare numeri, lettere e caratteri speciali, che puntualmente dobbiamo ripristinare perché difficili da ricordare, a favore di una autenticazione sicura, che può comprendere l’autenticazione multi fattore tramite app o la biometria. Entrambe sono ampiamente disponibili e gratuitamente sui servizi digitali più comuni e la loro efficacia va molto oltre il vecchio concetto di password. Senza contare la semplificazione di utilizzo”.
Come scegliere una password sicura, difficile da indovinare: tutti i consigli degli esperti
I consigli per proteggere le password
La soluzione per ricordare centinaia di password complesse sono i password manager. “Sono strumenti indispensabili e per loro natura estremamente sicuri, l’importante è scegliere quelli più affidabili (ne esistono centinaia) e poi proteggere al massimo la master password e la secret key da conservare con massima cura,. Infatti è l’ultima possibilità per recuperare l’accesso alla propria cassaforte”.
I password manager (PM) sono software in grado di memorizzare in un database centinaia di password. Password lunghe, complesse ed articolate, contenenti un mix di caratteri alfanumerici, lettere maiuscole e caratteri speciali. Ognuna associata a singoli account. Inoltre bisogna “cambiare immediatamente la password di qualsiasi account se le proprie informazioni e credenziali sono state oggetto di una violazione dei dati”, ricorda BitDefender, che consiglia di aggiungere Bitdefender Password Manager ai propri strumenti digitali.
Un parametro per scegliere il password manager è la fama del vendor: “Un password manager che non è mai stato violato come 1Password offre sicurezza”, afferma Sbaraglia che “i PM sono protetti da una master password, che serve per aprirli e diventa l’unica password da ricordare. Anche la trasparenza di un’azienda su un cyberattacco è indice di serietà.
La scelta di PM open source, il cui codice sorgente è aperto e pubblico e quindi sottoposto a valutazione, è un altro criterio per scegliere un password manager. Un PM affidabile non fa altro oltre a ciò che dichiara. Elevati criteri di cifratura, di cyber security e forti policy di protezione della privacy sono altri parametri da prendere in considerazione.
“I password manager costituiscono la miglior soluzione che compendia sicurezza e praticità”, conclude Sbaraglia. “Bisogna scegliere solo PM di aziende rinomate ed affidabili, come 1Password”.
“Per effetto della Zero-Knowledge encryption, non è possibile leggere le password senza la master password che cripta i dati consegnati al software”.
I 10 migliori password manager: cosa sono, come usarli e perché sono utili anche alle aziende
Il fattore umano
“La scarsa consapevolezza nella gestione delle password anche in azienda rientra nei rischi legati al fattore umano”, avverte Sbaraglia: “Come non lasciamo in giro le chiavi di casa, così dovremmo porre analoga attenzione alle password”.
La soluzione ideale per la sicurezza delle mail dovrebbe educare anche gli utenti non esperti sui potenziali rischi, compreso il furto delle credenziali: “Ad esempio, tutti i dipendenti dovrebbero essere consapevoli che in caso di email sospette bisogna evitare di rispondere, inoltrare o cliccare su link in esse contenuti, e di inserire password o dati personali su siti Web ad esse collegate e di scaricare gli allegati (malware)”, spiega in occasione del World Password Day 2023 Retarus, fornitore globale di soluzioni enterprise cloud per messaging.
Anche i password manager sono nel mirino degli info-stealer. I cyber criminali sfruttano il download di software crackati o il mancato aggiornamento dei sistemi operativi. La postura di sicurezza e la consapevolezza dei rischi sono dunque una priorità, come la scelta di password forti e l’utilizzo di password manager sicuri e affidabili.
“La scelta di password deboli, l’uso della stessa password per applicazioni personali e di ufficio, i mancati aggiornamenti rendono vulnerabili anche le aziende che magari si sono dotate di avanzate soluzioni di sicurezza”, mette in guardia Alessio Aceti, CEO e fondatore di Sababa Security.
Mai condividere le password
Infine non bisogna mai condividere le password: “Eppure i giovani tra i 16-24 anni sono molto più inclini a condividere ‘frequentemente’ le password con i loro colleghi (67%, contro il 46% fra i 45-54 anni e il 48% per over 55 anni. Il 53% delle persone ha ammesso di aver condiviso una password con un collega, secondo Dashlane”, conclude Sbaraglia.
