Istituita nel 2013, la giornata mondiale delle password ricorre annualmente ogni primo giovedì del mese di maggio. Una password «robusta» è importante per evitare che terzi non autorizzati ai servizi online. Ecco come ottenere un buon livello di sicurezza di password e identità digitali secondo G DATA.
Le password testuali, come impiegate per accedere ai social network o ai siti di shopping online, sono e saranno una componente essenziale per proteggere la propria identità digitale contro l'accesso indesiderato da parte di terzi. Da anni gli esperti di sicurezza informatica cercano di dare risposte ai quesiti su come rendere una password davvero "robusta”. Qualche tempo fa i ricercatori erano d'accordo sul fatto che una password debba constare di almeno otto caratteri e non debba contenere parole di uso quotidiano o sequenze di caratteri facili da indovinare. Questo quanto riportato ancora oggi nelle linee guida di Google sulla protezione degli account. Lo United States Computer Emergency Readiness Team (US-CERT) aggiunge che l'utente dovrebbe avvalersi di password diverse per ogni singolo account. Le password devono rispettare peraltro una serie di parametri complessi come la presenza di caratteri speciali o cifre oltre alle lettere (maiuscole e minuscole s'intende). Se, come annovera lo studio "Observing passwords in their natural habitat", ogni persona possiede in media credenziali di accesso per 26,3 diversi siti e utilizza nell'80% dei casi sempre la stessa password, a volte con minime variazioni, la dicotomia tra teoria e pratica è più che evidente. A dire il vero, chi riesce a ricordarsi password sufficientemente complesse e uniche per ogni portale?
Sette consigli per una migliore protezione della propria identità digitale
- Un plugin per gestire le password è utile: Se si impiegano password diverse per accedere ai singoli portali è davvero facile dimenticare quale si utilizza per quale account. Con un password manager, come quello integrato in G DATA Total Security, si risolve il problema. Dopo l'installazione il password manager compare come icona nel browser e registra tutte le credenziali di accesso immesse nei siti. Tutte le password sono archiviate in una cassaforte cifrata accessibile tramite immissione di una parola d'ordine "master” che sarà anche l'unica da ricordare.
- La lunghezza della password è determinante: A dispetto di molte raccomandazioni del passato pare che al momento si stia imponendo l'approccio secondo cui la lunghezza di una password risulta più importante della sua complessità. Una password può contenere X caratteri speciali, cifre, maiuscole e minuscole, ma – di fatto – più lunga è più elevato sarà il numero di varianti che un potenziale attaccante dovrà considerare. Esempio: Una password con sei lettere minuscole genera circa 309 milioni di potenziali combinazioni. Sembra un'enormità ma un computer moderno impiega circa sette secondi per passarle al setaccio. Sessantasei anni invece semplicemente raddoppiandone la lunghezza a dodici caratteri.
- Utilizzare frasi piuttosto che parole: Avvalersi di una singola parola come password non è una protezione sufficiente. Password come «calcio1234» o «password+» sono facilmente hackerabili. Ideale invece l'utilizzo di frasi non reperibili in alcun dizionario ma facili da ricordare. Il motivo: per identificare un'eventuale frase più facilmente i cybercriminali utilizzano combinazioni di parole statisticamente probabili, cosa che vanifica i benefici dell'uso di una frase, qualora molto nota o utilizzata. Esempio: Una frase da impiegare come password su può generare facilmente da "in termini di sicurezza sono una password robusta”. Molti non sanno che è possibile utilizzare anche gli spazi in una password. Con lievi modifiche ecco un'ottima passphrase: "!n t3rmini d! 5icure77a sono 1 PassWord r0bust@."
- Modificare le password in modo corretto: Se si cambia la password, quella nuova non deve essere una derivazione di quella vecchia. Molti utenti si limitano ad aggiungere la cifra corrispondente al mese o all'anno o il numero successivo a quello già impiegato. Altri utenti modificano una password inizialmente robusta semplificandola per maggior comodità. In generale si raccomanda di modificare una password solo se richiesto dal sito, se un estraneo ha visto l'utente digitare la password o se viene reso noto che un portale sia stato attaccato. E' possibile verificare se una banca dati e quindi la propria sicurezza è stata compromessa sul sito "Have I Been Pwned".
- Aggiornamento immediato: Se si intende proteggere il proprio computer o smartphone, gli aggiornamenti di sicurezza sono assolutamente cruciali, specie a fronte delle vulnerabilità Meltdown e Spectre. In generale si raccomanda di mantenere sempre aggiornati i sistemi operativi, le applicazioni / app in uso e di installare gli aggiornamenti non appena disponibili.
- Autenticazione a due fattori: Gli utenti dovrebbero preferire l'autenticazione a due fattori ovunque sia disponibile. Facebook, LinkedIn, Dropbox, Google, PayPal e altri grandi operatori offrono da tempo questa possibilità.
- Protezione antivirus aggiornata: Desktop, notebook, smartphone e tablet dovrebbero essere sempre dotati di una protezione antivirus aggiornata. Soprattutto si sottovalutano i rischi a carico dei dispositivi mobili ritenendo erroneamente che tali apparecchi non possano essere sfruttati per attività criminali. Un errore di valutazione da correggere quanto prima.