Per proteggere i dati digitali è meglio usare password uniche e facili da ricordare che cambiarle spesso

NETCOM GreenLight, per il recupero automatico delle password

Il Change Your Password Day 2019 è un’ottima occasione per dare ascolto ai consigli degli esperti di sicurezza: quando si tratta di proteggere i propri dati digitali, è meglio optare per combinazioni uniche e facili da ricordare piuttosto che procedere con un cambio frequente delle varie password in uso. I ricercatori consigliano agli utenti di adottare alcune procedure per creare la propria serie di password uniche. Raccomandano, inoltre, di usare un tool di gestione delle combinazioni, in grado di “ricordare” le password al posto dell’utente.

L’uso delle password è il metodo più consolidato per l’autenticazione di un account online, ma creare combinazioni sicure e semplici da ricordare non è facile; creare nuove chiavi di accesso è sempre più difficile, anche perché le persone, oggi, hanno sempre più account da gestire. Se si creano password semplici e facili da ricordare, il rischio che un utente malintenzionato riesca a craccarle è maggiore. Se si opta per una sequenza di caratteri più complessa, invece, è probabile che l’utente stesso fatichi a ricordarla, quindi è molto probabile che ci si limiti a una o due combinazioni e che si scelga poi di utilizzarle per più siti web.

Secondo i ricercatori, il pericolo più grande quando si tratta di password è legato al loro riutilizzo. Come ha mostrato il recente caso di Collection #1, relativo alla messa online di più di 700 milioni di indirizzi email e milioni di password non criptate, i dati provenienti da diverse violazioni di dati possono essere facilmente combinati tra loro e utilizzati poi in attacchi di Credential Stuffing: gli attaccanti utilizzano le combinazioni di indirizzi email e password delle vittime per introdursi negli altri account di loro proprietà, protetti dalle stesse password.

I rischi non si limitano cambiando le password, ma rendendole più forti. La loro forza dovrebbe essere basata non tanto sulla complessità della sequenza di caratteri, quanto sulla loro unicità.

David Jacoby, Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky Lab, ha commentato: “C’è molta confusione riguardo a cosa si debba intendere quando si parla di password ‘forte’. Molti siti web richiedono ora l’inserimento di sequenze complesse, composte da almeno otto o più lettere minuscole o maiuscole, numeri e anche caratteri speciali. Gli utenti sono arrivati a considerare questo tipo di combinazione come ‘password forte’, e questo è piuttosto scoraggiante.” Prosegue Jacoby: “La buona notizia è che ‘forte’ non deve essere sinonimo di ‘spaventoso’. Quando si esamina il problema dal punto di vista della sicurezza, si può vedere che le password generalmente ‘forti’ sono quelle uniche, per un utente e per un account. Ci sono vari modi per rendere le password uniche, ma anche facili da ricordare, in modo che non possano essere utilizzate per accedere ad altri account, anche in caso di condivisione tramite una violazione di dati. A disposizione degli utenti ci sono anche dei tool per la gestione sicura delle password, come Kaspersky Password Manager, che rendono facile creare e utilizzare in sicurezza decine di password davvero uniche.”

Per creare password uniche e facili da ricordare basta seguire alcuni semplici step:

  • Step 1: Creare una “static string” (quella parte di password che resta sempre uguale)
    1. Pensare ad una frase, al testo di una canzone, alle citazioni di un film, ad una filastrocca o a qualcosa di simile, che sia facile da ricordare;
    2. Prendere la prima lettera delle prime tre o prime cinque parole;
    3. Aggiungere, tra una lettera e l’altra, un carattere speciale (ad esempio: #, @, / e simili).

    Da questo momento in poi, è possibile basare tutte le proprie password uniche su questa singola stringa di caratteri.

  • Step 2: Sfruttare la potenza dell’associazione di idee!
    1. In caso di necessità di una password per uno degli account online in uso (ad esempio per Facebook, Twitter, eBay, per i siti di dating, per l’online banking, per lo shopping online o i siti di videogiochi…), si deve prendere nota della prima parola che si associa ad un determinato sito o ad una certa piattaforma.
    2. Ad esempio, se si sta creando una password per l’account di Facebook, si potrebbe associare al social media il colore blu, presente nel logo. Basterebbe, quindi, aggiungere la parola “blu”, magari in lettere maiuscole, alla fine della “static string” creata in precedenza.

“Per esempio – prosegue Jacoby – se la frase a cui si è pensato è ‘Twinkle Twinkle Little Star, How I wonder What You Are’, e il carattere speciale scelto per l’inserimento tra le lettere è ‘#’, la password sicura e unica per Facebook sarà: T#T#L#S#Hblue. Se qualcuno ci consegnasse questa password, o se la guardassimo dal di fuori, non avrebbe alcun significato per noi. Trattandosi però di qualcosa di personale per chi l’ha creata, sarà facile per l’autore riconoscere il sistema usato per la sua creazione, associare la parola al sito e ricordare così facilmente la giusta combinazione!”