A cura di Simon Bryden, Consulting Systems Engineer di Fortinet
Man mano che il numero di servizi cui accediamo online cresce costantemente, le password si rivelano sempre meno efficaci. E sebbene molti siti consentano di riutilizzare altre credenziali di autenticazione (per es. Il login con Google), l’utente medio è ancora alle prese con una lunga serie di password differenti da ricordare.
Viene inoltre consigliato di continuo di utilizzare una password diversa per ogni sito, oltre a scegliere sequenze di caratteri e numeri che non siano semplici da indovinare. Tutto questo porta gli utenti a dimenticare le password, a resettarle per doverne sceglierne altre, che non siano collegate a quelle precedenti e che rispondano a una serie di requisiti, cosa che rende quasi impossibile ricordarle la volta seguente.
Alcune ricerche mostrano come gli utenti continuino a utilizzare password deboli. L’analisi su 11 milioni di password in seguito al breach di Ashley Madison l’anno scorso ha svelato che la password più comune era “123456”, seguita da “12345” e “password”, con oltre 200.000 utenti che hanno optato per una di queste tre sequenze. Si tratta ovviamente di password semplici da indovinare, ma in realtà anche quelle relativamente complesse sono facilmente violabili da cyber-criminali qualunque che utilizzano CPU e GPU potenti ma non costose.
Le regola più importante al momento di scegliere una password impone di evitare parole del dizionario, anche se si utilizza lo zero al posto della “0” o l’uno in sostituzione della “I”. Questo tipo di caratteri è facilmente verificato dai tool di violazione delle password e non offre alcun valore aggiunto. Occorre inoltre tenere a mente che i virus hanno spesso accesso a informazioni archiviate a livello locale, come indirizzi, calendari e dizionari correttori ortografici, che contengono parole che un utente potrebbe considerare personali o private. Gli attacchi moderni integreranno queste informazioni nei tool di violazione delle password. Sono anche da evitare gli schemi per tastiere, come per esempio “qwerty”, o caratteri ripetuti.
Quindi come si deve scegliere una password sicura? I due criteri più importanti sono lunghezza e tipologia di caratteri utilizzati. Utilizzando punteggiatura e caratteri alfa-numerici, la difficoltà per i tool di violazione aumenta significativamente rispetto a password costituite unicamente da lettere dell’alfabeto. Seguendo queste raccomandazioni, anche password di soli 8 caratteri diventano praticamente impossibili da violare. Il problema diventa però ricordarsele.
Una soluzione è offerta da tool specifici per la gestione delle password. Questi strumenti permettono di conservare in modo sicuro le password, e di solito consentono alle pagine di login di essere popolate automaticamente con le credential appropriate per accedere al sito. I password manager sono integrati nella maggior parte dei browser e sono disponibili anche tool di terze parti integrabili nei browser e nei dispositivi mobile. Alcuni offrono anche la possibilità di generare password ed è anche possibile creare credential per un sito, senza che queste siano note all’utente. Questi tool hanno senza dubbio lati negativi. L’avere tutte le proprie password protette da un’unica sequenza principale impone che quest’ultima sia altamente sicura. Ancora più importante, il password manager non deve essere lasciato in modalità aperta consentendo a chiunque utilizzi il PC di scorrere tra tutte le password archiviate. Inoltre, se l’utente accede a un sito da un device sul quale il gestore delle password non è installato o disponibile, potrebbe risultare impossibile effettuare il log in. Alla fine dei conti tuttavia, questo tipo di strumento rappresenta probabilmente la migliore soluzione per gli utenti che accedono a un ampio numero di siti.
Infine, quando si installa un nuovo hardware o software, occorre prestare attenzione a cambiare ogni password di default che possa essere presente sul device. Ciò è particolarmente frequente in dispositivi “IoT” di basso costo, come per esempio le webcam. I cyber-criminali ne sono al corrente e possono facilmente cercare su internet i device vulnerabili. Questa tecnica è stata utilizzata lo scorso anno per creare la botnet Mirai, sfruttata dagli hacker per sferrare il più grande attacco DDoS mai visto. È importante quindi che ogni volta che viene installato un nuovo device, la password di default venga modificata e sostituita con una nuova password più sicura.
