L’autenticazione a due fattori ha permesso di cementare la sicurezza delle tradizionali credenziali di accesso (nome utente e password) offrendo la possibilità di configurare un secondo elemento da utilizzare per sbloccare l’accesso ad account e servizi online.
Le nuove passkey enfatizzano ulteriormente questo concetto facendo diventare lo smartphone sempre più lo strumento principe per autorizzare gli accessi e verificare la legittimità di un tentativo di login. Grazie alle passkey (Google ha cominciato a supportare le passkey mentre 1Password le fa già provare come nuovo sistema di autenticazione) l’accesso viene sbloccato senza digitare alcuna password, diversamente rispetto all’approccio basato sull’autenticazione a due fattori che prevede comunque il login iniziale con username e password personali.
Al di là dei progressi che si stanno compiendo per mettersi alle spalle il “fastidio” delle password, è bene tenere presente che queste ultime sono ancora ampiamente protagoniste della scena e che non sarà possibile sbarazzarsene definitivamente ancora per molti anni.
Iniziative come il World Password Day ci ricordano quanto sia fondamentale creare password sicure che siano quindi resistenti ai tentativi di attacco perpetrati da curiosi, utenti malintenzionati o veri e propri criminali informatici. Come ricordano ad esempio Security.org ed Acronis, una password standard composta da 8 caratteri minuscoli può essere violata istantaneamente.
Volete aggiungere appena 22 minuti al tempo di cracking della password? Inserite una lettera maiuscola. Volete una protezione maggiore? L’aggiunta di un carattere speciale combinato con una lettera maiuscola fa salire il tempo necessario per craccare la password ad appena un’ora circa. Guardate la tabella che segue per rendervene conto:
Come abbiamo sempre voluto ricordare, la lunghezza e la complessità della password sono parametri essenziali per mettersi al riparo da eventuali tentativi di attacco. Una buona password, dovrebbe essere oggi composta da 12 caratteri e contenere maiuscole, minuscole, numeri, simboli. La potenza delle GPU e la possibilità di mettere al lavoro una batteria di esse, anche senza disporre dell’hardware in locale ma appoggiandosi alle risorse offerte dai vari provider cloud, consente di convogliare risorse ingenti sulle attività di password cracking: da qui la necessità di proteggersi in modo adeguato.
Gli aggressori utilizzano una varietà di strumenti e tecniche per violare le password, come ad esempio i seguenti:
- Attacchi di forza bruta (brute force attack): in cui gli aggressori provano ogni possibile combinazione di caratteri fino a quando non trovano la password corretta.
- Attacchi di dizionario (dictionary attack): in cui gli aggressori utilizzano un dizionario di parole comuni per provare a indovinare la password.
- Attacchi phishing: in cui gli aggressori cercano di ottenere la password attraverso l’inganno, ad esempio inviando e-mail o messaggi di testo fraudolenti che sembrano provenire da servizi legittimi.
- Attacchi ingegneria sociale: in cui gli aggressori cercano di ottenere la password attraverso l’inganno, ad esempio chiedendo la password a una persona in modo fraudolento.
Fatta eccezione per gli ultimi due (è l’utente che consegna la password agli aggressori), gli attacchi brute force e quelli basati sul dizionario permettono di risalire alla password in chiaro. In uno degli articoli citati in precedenza, abbiamo ad esempio spiegato come è possibile risalire alle password partendo dall’hash corrispondente e di come i siti Web memorizzano le password.
Le password che si scelgono, infine, non devono soltanto essere lunghe e complesse ma anche evitare l’utilizzo di schemi noti: P@55w0rd
non è una buona password perché pur essendo basata su un mix di lettere, numeri e simboli rappresenta la facile trasposizione di una parola di uso comune con caratteri e simboli visualmente simili agli originali. E no, le password complesse non sono facili da violare.