Ogni anno ai primi di maggio ricorre il World Password Day, importante evento a livello mondiale pensato per sensibilizzare gli utenti sull’importanza della scelta di password efficaci e della loro conservazione sicura. Torniamo anche noi sull’importanza di creare password sicure: seguendo alcuni semplici suggerimenti, infatti, è possibile tutelarsi dalla maggior parte dei rischi.
Diversi studi via via pubblicati dalle principali società attive nel settore della sicurezza informatica sono concordi: ancora oggi una buona fetta di utenti si serve della stessa password a protezione di più account. Si tratta di una pratica sconsiderata perché può esporre dati personali e informazioni sensibili alla mercé dei malintenzionati allorquando uno solo dei propri account fosse in qualche modo violato.
Ulteriori report mettono in evidenza che gli aggressori informatici lanciano ogni giorno una media di 50 milioni di attacchi alle password ovvero circa 580 al secondo. E sono molto efficaci: il 60% delle violazioni sui dati sono attribuite a credenziali compromesse.
Un italiano su tre utilizza ancora oggi sempre la stessa password o varianti di una password principale mentre quasi la metà delle persone modifica la propria password una volta all’anno o non la cambia mai. In un altro articolo abbiamo visto quando è opportuno cambiare password.
Il problema della gestione delle password
Per quanto riguarda la gestione delle password, in molti provano a tenerle a mente, altri le annotano su supporti cartacei mentre una minima parte usa password manager.
Di primo acchito tenere a mente le password può sembrare una buona tecnica ma l’alta percentuale di utenti che ricorre a questa tecnica indica che molti utilizzano password facili da ricordare e quindi semplici da indovinare con attacchi di forza bruta (brute force) e tecniche di social engineering. Gli utenti hanno invece necessità di un metodo sicuro per memorizzare le proprie credenziali e soprattutto devono aggiornare periodicamente le password.
Altre ricerche evidenziano come più della metà degli utenti possieda tra uno e quattro dispositivi non protetti da password o da una forma di autenticazione biometrica (come l’impronta digitale). Si tratta, anche in questo caso, di un dato allarmante. Buona parte degli utenti è interessato a creare password facili da ricordare piuttosto che affidarsi a una password efficace in grado di garantire un buon livello di protezione.
Luca Maiocchi, Country Manager Proofpoint, osserva che il 95% dei problemi di cybersecurity può essere ricondotto all’errore umano. È quindi fondamentale che professionisti e aziende implementino un approccio alla sicurezza incentrato sulla persona, assicurandosi che sia i dipendenti remoti che quelli in ufficio ricevano formazione sulle best practice. L’accento deve essere posto, per esempio, sul tema della corretta identificazione dei tentativi di phishing delle credenziali e di come sia possibile gestire le password in modo sicuro.
L’idea di accesso passwordless e la diffusione del concetto di passkey
Paolo Lossa, Country Sales Director di CyberArk Italia, sottolinea l’importanza di allontanarsi progressivamente dalla dipendenza dalle password. “Eliminare le password rappresenta un modo più efficace per proteggere le identità degli utenti da attacchi phishing, keylogging e man-in-the-middle. Non solo: eliminare la necessità di creare password complesse e aggiornarle frequentemente semplifica inoltre la user experience“, osserva Lossa. “L’autenticazione senza password, infine, può anche aumentare la produttività, rimuovendo la necessità di attività di supporto IT collegate, come il loro reset“.
Spiega ancora Lossa che i principali ostacoli che impediscono alle aziende di passare a un’autenticazione passwordless sono i sistemi legacy che richiedono password e la difficoltà nell’affrontare ambienti più grandi e complessi con migliaia di utenti, innumerevoli applicazioni, ambienti ibridi e multi-cloud e molteplici flussi di login.
“Utenti e aziende dovrebbero prendere in considerazione anche le passkey, un nuovo fattore di autenticazione senza password che sfrutta le capacità di sicurezza dei dispositivi stessi. Le passkey sono a prova di phishing ed eliminano i vettori di attacco possibili con l’autenticazione tramite password“, conclude Lossa.
Le password possono essere sempre soggette ad attacchi di forza bruta
Fintanto che non si diffonderanno le passkey, strumento già in fase di dispiegamento che dovrebbe portare all’abbandono delle tradizionali password, è importante creare password sicure, capaci di resistere a ogni possibile forma di attacco, anche quelli sferrati stanziando ingenti risorse computazionali. In un altro articolo abbiamo visto quanto tempo ci vuole per violare una password e, ad esempio, risalire alla password in chiaro partendo dal corrispondente hash.
Sarebbe più grave subire un furto in casa o un furto dei dati protetti dalle proprie password? Sicuramente, per la maggior parte delle persone, è più grave il secondo caso. A casa, a parte per chi possiede oggetti di grande valore o grosse somme di denaro, generalmente si rischia che vengano rubati oggetti di uso comune come TV, macchine del caffè, biciclette, ma online? Online gli aggressori potrebbero sottrarre denaro da un conto corrente, pubblicare foto “imbarazzanti” che potrebbero mettere a rischio la reputazione, leggere i messaggi WhatsApp e pubblicare su Instagram foto non desiderate: potenzialmente un disastro sia dal punto di vista personale che lavorativo.
“Ma allora perché mettiamo a casa serrature moderne con scheda chip, porte blindate, telecamere, domotica, controllo degli accessi e sul telefonino o sul profilo social mettiamo una password con la data di nascita, il nome del gatto o dei fidanzati?”, osserva Alessio Aceti, CEO di HWG Sababa, operatore italiano di spicco nel settore della cybersecurity.
Scegliere bene le password, proteggerle meglio e affidarsi a sistemi di autenticazione più evoluti
La scelta di una buona password è fondamentale per proteggere i propri account online da eventuali attacchi informatici. Una password debole può essere facilmente indovinata o decifrata dagli aggressori compromettendo la sicurezza dei propri dati personali e delle informazioni sensibili, come le informazioni bancarie o le password di accesso ad altri account.
Una password forte, invece, può proteggere efficacemente i propri account, impedendo agli hacker di accedere ai propri dati. Una buona password dovrebbe essere lunga, complessa e non facile da indovinare, utilizzando una combinazione di lettere maiuscole e minuscole, numeri e simboli.
D’altra parte, come sottolinea Veronica Pace, Head of Marketing Trend Micro Italia, le password compromesse sono responsabili dell’81% delle fughe di dati legate ad attività criminali (fonte: Verizon Data Leak Investigations Report 2024).
Il decalogo per la scelta della migliore password possibile
Proponiamo di seguito le regole d’oro per la creazione di password valide e utili a proteggere i propri account e la propria identità online.
Non scegliere password prevedibili
Vanno sempre assolutamente evitate password “deboli” e soprattutto contenenti riferimenti alla propria persona, a date importanti, parenti, ricorrenze, animali domestici e così via. Spesso le informazioni utili per violare un account possono essere “rastrellate” agevolmente sui social network. Il caso Cambridge Analytica-Facebook dovrebbe aver fatto scuola.
Scegliere sempre password complesse e sufficientemente lunghe
Non si dia ascolto a chi vuole a tutti i costi una password semplice da ricordare. Le password dovrebbero essere lunghe (preferibilmente 12 caratteri o più) e complesse, utilizzare caratteri alfanumerici (lettere maiuscole, minuscole, lettere e numeri, caratteri speciali) e almeno un simbolo. Queste attenzioni permettono di scongiurare qualunque rischio di attacco brute force oppure basato sui dizionari.
È ovvio che per i servizi online che non ospitano dati personali o informazioni riservate, si possono impostare password meno complicate ma la scelta di password “efficaci” è fondamentale per evitare situazioni spiacevoli.
La funzione per salvare le password con Google, ad esempio nel browser Chrome, aiuta a controllare la sicurezza di password e credenziali.
È inoltre possibile fare uso di un generatore password sicuro che permette di creare nuove password senza scervellarsi e attenendosi alle best practice universalmente riconosciute.
Non utilizzare mai, per nessun motivo, le stesse credenziali per più account
Una pratica purtroppo molto diffusa consiste nell’utilizzare le stesse password per l’accesso ad account completamente differenti. Un’indagine elaborata da Google ha rilevato che almeno il 65% delle persone utilizza password identiche su più siti, se non addirittura su tutti.
È quindi bene accertarsi invece di non riutilizzare mai la stessa password per più account: nel caso in cui si subisse un attacco su un singolo account o si verificasse un furto dei dati lato server, un malintenzionato avrebbe gioco facile per accedere ad altri account del medesimo utente. La storia di Have I been pwned e le verifiche che il sito permette di effettuare, aiutano a capire la gravità del problema.
Non condividere mai i dati di autenticazione
Nome utente e password per l’accesso ai propri account non devono mai, per nessun motivo, essere condivisi con altri utenti.
Inoltre, le proprie password non devono essere comunicate via email o mediante software di messaggistica istantanea. Anche se tanti applicativi utilizzano oggi la crittografia end-to-end, è sempre bene usare la massima attenzione. Ad esempio perché chi ha accesso fisico al dispositivo del destinatario, può comunque rubare le password molto facilmente. Stessa cosa dicasi per un malware che dovesse andare in esecuzione sul dispositivo del mittente o del destinatario del messaggio.
Valutare l’utilizzo dell’autenticazione a due fattori o verifica in due passaggi
Soprattutto per la protezione di quegli account che contengono molti dati personali (si pensi a quelli di Facebook, Google, Microsoft, Dropbox e così via), si può pensare di attivare l’autenticazione a due fattori.
Per accedere all’account non si dovrà così conoscere e introdurre solamente i propri nome utente e password corretti: sarà chiesto di usare un dispositivo che si possiede o un parametro biometrico per poter accedere.
In un altro articolo abbiamo visto cos’è l’autenticazione a due fattori e come gestirla al meglio. Sono molti i servizi che permettono di attivare l’autenticazione a due fattori: nell’articolo pubblichiamo una lista completa, sempre aggiornata.
Utilizzare un buon password manager
Scrivere le proprie password su di un supporto cartaceo non è mai consigliabile: potrebbe infatti essere oggetto di furto o consultato da persone non autorizzate. Il modo migliore per proteggere le proprie password è sfruttare un password manager evitando l’utilizzo di quello integrato nel browser.
Un ottimo software per gestire le password in locale, anche sui dispositivi mobili, in forma cifrata è Keepass: è possibile anche configurare i propri device in maniera tale che username e password siano salvati al sicuro e sincronizzati automaticamente.
Per gli utenti aziendali abbiamo presentato il software open source Psono installabile e utilizzabile anche on-premises. Anche il noto Bitwarden è installabile su un proprio server o su un sistema NAS (self-hosted).
Molto valido che anche Passbolt, un password manager open source progettato espressamente per i professionisti e per le aziende.
Collegarsi sempre a pagine HTTPS e valutare l’uso di VPN durante l’impiego delle reti WiFi amministrate da terzi o da sconosciuti
Diffidate dei siti Web che non fanno viaggiare le password su connessione cifrata e non ricorrono al protocollo HTTPS con un certificato digitale valido e non scaduto.
Quando ci si collega a Internet usando una WiFi altrui sarebbe opportuno creare un tunnel crittografato in modo che tutte le informazioni in transito non possano essere lette da parte di terzi.
Nella maggior parte dei casi l’utilizzo di HTTPS per la consultazione del Web è più che sufficiente. Tuttavia, molti utenti continuano non soltanto a scambiare informazioni personali con pagine Web che trasferiscono i dati in chiaro (via HTTP) ma usano ad esempio client di posta che si collegano a server POP3/IMAP senza alcuna cifratura (non viene usato il protocollo TLS).