Oggi è la giornata mondiale delle password: 7 consigli per migliorare quelle più importanti

Lorenzo Delli

La giornata mondiale delle password è stata istituita nel 2013 e ricorre annualmente ogni primo giovedì del mese di maggio. A ricordarcelo è G DATA, società da oltre trenta anni impegnata nella lotta e prevenzione delle minacce informatiche.

Perché festeggiare ogni anno una ricorrenza del genere? Semplice: per ricordare all’utenza quanto importanti siano password caratterizzate da una certa complessità, visto che talvolta garantiscono l’accesso a dati sensibili di vario genere.

LEGGI ANCHE: Il nuovo Project Mirror di Dashlane vuole uccidere le password nel 2018

Non ci dovrebbe essere bisogno, ma report come quelli relativi alle password più usate nel 2017 (al primo posto “123456” e al secondo posto “password”) ne fanno capire l’utilità. Sempre G DATA ha raccolto sette consigli universali per migliorare le password che usiamo abitualmente.

  • Un plugin per gestire le password è utile: Se si impiegano password diverse per accedere ai singoli portali è davvero facile dimenticare quale si utilizza per quale account. Con un password manager, come quello integrato in G DATA Total Security (o come Lastpass o RememBear), si risolve il problema. Dopo l’installazione il password manager compare come icona nel browser e registra tutte le credenziali di accesso immesse nei siti. Tutte le password sono archiviate in una cassaforte cifrata accessibile tramite immissione di una parola d’ordine “master” che sarà anche l’unica da ricordare.
  • La lunghezza della password è determinante: A dispetto di molte raccomandazioni del passato pare che al momento si stia imponendo l’approccio secondo cui la lunghezza di una password risulta più importante della sua complessità. Una password può contenere X caratteri speciali, cifre, maiuscole e minuscole, ma – di fatto – più lunga è più elevato sarà il numero di varianti che un potenziale attaccante dovrà considerare. Esempio: Una password con sei lettere minuscole genera circa 309 milioni di potenziali combinazioni. Sembra un’enormità ma un computer moderno impiega circa sette secondi per passarle al setaccio. Sessantasei anni invece semplicemente raddoppiandone la lunghezza a dodici caratteri.
  • Utilizzare frasi piuttosto che parole: Avvalersi di una singola parola come password non è una protezione sufficiente. Password come «calcio1234» o «password+» sono facilmente hackerabili. Ideale invece l’utilizzo di frasi non reperibili in alcun dizionario ma facili da ricordare. Il motivo: per identificare un’eventuale frase più facilmente i cybercriminali utilizzano combinazioni di parole statisticamente probabili, cosa che vanifica i benefici dell’uso di una frase, qualora molto nota o utilizzata.Esempio: Una frase da impiegare come password su può generare facilmente da “in termini di sicurezza sono una password robusta”. Molti non sanno che è possibile utilizzare anche gli spazi in una password. Con lievi modifiche ecco un’ottima passphrase: “!n t3rmini d! 5icure77a sono 1 PassWord r0bust@.”
  • Modificare le password in modo corretto: Se si cambia la password, quella nuova non deve essere una derivazione di quella vecchia. Molti utenti si limitano ad aggiungere la cifra corrispondente al mese o all’anno o il numero successivo a quello già impiegato. Altri utenti modificano una password inizialmente robusta semplificandola per maggior comodità. In generale si raccomanda di modificare una password solo se richiesto dal sito, se un estraneo ha visto l’utente digitare la password o se viene reso noto che un portale sia stato attaccato. È possibile verificare se una banca dati e quindi la propria sicurezza è stata compromessa sul sito “Have I Been Pwned”.
  • Aggiornamento immediato: Se si intende proteggere il proprio computer o smartphone, gli aggiornamenti di sicurezza sono assolutamente cruciali, specie a fronte delle vulnerabilità Meltdown e Spectre. In generale si raccomanda di mantenere sempre aggiornati i sistemi operativi, le applicazioni / app in uso e di installare gli aggiornamenti non appena disponibili.
  • Autenticazione a due fattori: Gli utenti dovrebbero preferire l’autenticazione a due fattori ovunque sia disponibile. Facebook, LinkedIn, Dropbox, Google, PayPal e altri grandi operatori offrono da tempo questa possibilità.
  • Protezione antivirus aggiornata: Desktop, notebook, smartphone e tablet dovrebbero essere sempre dotati di una protezione antivirus aggiornata. Soprattutto si sottovalutano i rischi a carico dei dispositivi mobili ritenendo erroneamente che tali apparecchi non possano essere sfruttati per attività criminali. Un errore di valutazione da correggere quanto prima.
Fonte: SAB Comunications