Le password sono spesso l’unica barriera tra un criminal hacker e le nostre informazioni private ed è per questo che l’igiene delle password è un aspetto molto importante della cyber security soprattutto in ambito aziendale.
Eppure, nonostante il tentativo di educare le persone e i dipendenti all’uso non idoneo e inappropriato di password deboli, l’attenzione posta alla creazione e manutenzione della chiave di accesso al nostro mondo virtuale è ancora a livelli bassissimi.
Lo sapevamo, ad esempio, che più di 3,6 milioni di persone nel Regno Unito usano la parola password come password? Peggio ancora, 23,3 milioni persone utilizzano globalmente la stringa 123456 o 12345678.
Queste statistiche provengono dal recente rapporto del National Cyber Security Centre inglese (NCSC), che evidenzia alcune delle allarmanti pratiche di password di milioni di persone.
Ecco alcuni dei principali suggerimenti per l’igiene delle password che non è più possibile ignorare.
Indice degli argomenti
Igiene delle password: scegliere chiavi di accesso robuste
Per anni ci è stato detto che abbiamo bisogno di una password forte fatta di lettere, numeri e simboli con un minimo di 8 caratteri. La verità è forse meno complicata di quanto sembra.
Come minimo, avremo bisogno di una password di 14 caratteri ed il National Center for State Courts americano consiglia di utilizzare tre parole casuali mescolate assieme.
La lunghezza è il fattore principale quando si crea una password complessa: più è lunga, più saranno i tentativi da parte di un hacker per indovinarla.
Ci sono alcuni strumenti di controllo password online che danno la possibilità all’utente di controllare la sua robustezza.
Inoltre, esistono alcuni strumenti di sicurezza come il sistema portachiavi built-in nel sistema operativo macOS, che è un’applicazione che memorizza la password e le informazioni dell’account e riduce il numero di password che è necessario ricordare e gestire.
Quando si accede a un sito Web, un account e-mail, un server di rete o un altro elemento protetto da password, il browser potrebbe offrire all’utente la possibilità di ricordare o salvare la password. Se si sceglie di usufruire di questa opportunità, è opportuno memorizzarle tutte nel portachiavi in modo da non doverle ricordare a memoria o digitare ogni volta che si accede allo stesso servizio.
È inoltre possibile utilizzare l’accesso automatico tramite portachiavi per gestire i certificati digitali rilasciati da organizzazioni attendibili per convalidare siti Web, documenti digitali e altri materiali online.
Infine, è possibile utilizzare il portachiavi al fine di creare nuovi elementi con nuove password create da un generatore automatico in cui è possibile impostare la lunghezza della password stessa che si desidera impostare ed il tipo di passphrase che si desidera creare:
- manuale;
- memorizzabile;
- lettere e numeri;
- solo numeri;
- conforme a FIPS-181 (processo standard per la conversione di bit casuali in alcune “parole” pronunciabili, adatte per una passphrase).
Igiene delle password: diversa per ogni account o profilo online
Anche se si dispone di una password forte che potrebbe far spendere ad un hacker 10.000 anni pur di indovinarla, non dovrebbe essere utilizzata per ogni account online; se una delle piattaforme che stiamo utilizzando viene compromessa, quella password potrebbe essere pubblicata online e quindi essere resa pubblica.
Anche gli hacker meno sofisticati possono quindi tentare la combinazione di password e username sui siti Web più popolari, come Facebook, Twitter e Amazon, esponendoci a frodi, furti di identità e danni alla reputazione personale.
Autenticazione multi-fattore: una soluzione efficace
L’autenticazione a più fattori (MFA, Multi-factor authentication) è un metodo di autenticazione in cui, ad un utente, viene concesso l’accesso solo dopo aver presentato con successo due o più elementi di prova (o fattori) a un meccanismo di autenticazione:
- conoscenza (qualcosa che l’utente e solo l’utente sa);
- possesso (qualcosa che l’utente e il solo l’utente ha);
- inerenza (qualcosa che l’utente e solo l’utente è).
L’autenticazione a due fattori (2FA) è un tipo, o sottoinsieme, di autenticazione a più fattori. Si tratta di un metodo per confermare le identità rivendicate degli utenti utilizzando una combinazione di almeno due diversi fattori:
- qualcosa che conoscono
- qualcosa che hanno
- qualcosa che sono
Un buon esempio di autenticazione a due fattori è il prelievo di denaro presso un bancomat; solo la corretta combinazione di una carta bancaria (qualcosa che l’utente possiede) e un PIN (qualcosa che l’utente sa) permette di effettuare la transazione.
Altri due esempi sono di integrare una password controllata dall’utente con una password monouso (OTP, One Time Password) o un codice generato o ricevuto da un autenticatore (ad esempio Google Authenticator per smartphone) che solo l’utente possiede.
Come usare un gestore di password
Se ci si aspetta di avere diverse password complicate per ogni account e profilo online, come possiamo davvero ricordarle tutte? Non si può (o quantomeno, la maggior parte di noi non può).
Le due opzioni migliori sono di annotare le password in formato cartaceo o utilizzare un gestore di password (o password manager). Entrambi hanno i loro pro e contro, ma ovviamente un gestore di password è particolarmente suscettibile al compromesso.
Allora, quale soluzione scegliere? La risposta dipenderà dalle nostre esigenze, ma se si sceglie un gestore di password, assicuriamoci che sia quello giusto (per lo meno, è opportuno assicurarsi che crittografi le password utilizzando forti metodologie crittografiche in modo attendibile).
Attenuare il rischio
Queste quattro azioni possono essere facilmente implementate sia nella nostra vita personale che in quella professionale, ma sul posto di lavoro assicuriamoci comunque di discutere prima la sicurezza e l’igiene delle password con il team IT e/o di sicurezza aziendale.
Alla fine della giornata, c’è sempre il rischio che le nostre informazioni riservate vengano compromesse, ma seguendo questi suggerimenti potremo mitigare tale rischio in modo abbastanza significativo.
