Visions

Le peggiori password del 2013 e come scegliere quella giusta

password

Circa un anno fa ebbi modo di leggere un interessante rapporto, prodotto dall’azienda di SplashData, sullo studio delle password utilizzate dagli utenti internet. Contrariamente a quanto si possa credere, la scelta  di una password “debole” è una delle principali cause delle violazione di dati, siamo infatti erroneamente portati a credere che la delle infrastrutture informatiche dipenda da altri fattori di ben altre complessità. La scelta di una password debole equivale a lasciare le chiavi nella serratura del portone di una fortezza altrimenti inespugnabile, e gli hacker lo sanno bene.

Proprio la conoscenza delle password più utilizzate è alla base della creazione dei dizionari utilizzati in attacchi di tipo brute-force, in cui sono provate in maniera esaustiva tutte le possibili combinazioni di codici segreti. Il fattore umano rappresenta da sempre l’anello debole della catena di sicurezza, sempre più spesso clamorosi attacchi si scoprono possibili grazie a cattive abitudini delle vittime.

Discutendo sull’utilizzo scorretto delle password, consideriamo che la quasi totalità degli utenti utilizza password semplici da ricordare (e.g. Nome di familiari, informazioni personali), e cosa ancor più grave utilizza le medesime credenziali per accedere a più servizi in rete.

Quest’ultimo caso è molto frequente, un comportamento pericoloso da evitare, un hacker scoprendo la nostra password potrebbe avere accesso alla nostra esperienza digitale (e.g. Email, servizi web.)

Il documento cui facevo riferimento, 25 Worst Passwords of the Year, è in realtà uno studio condotto su base annua sulle password utilizzate dagli utenti e rese note a seguito di una violazione di dati, ho ritenuto quindi interessante condividere con voi qualche osservazione comparando i dati relativi alle password utilizzate nell’ultimo biennio.

password

Basta una rapida occhiata per rendersi conto della gravità del problema, proprio le password di una semplicità disarmante sono quelle più utilizzate degli utenti. Altra riflessione che va fatta è che i dati raccolti nel 2013 sono condizionati dalla presenza delle password trafugate in occasione della violazione dei server dell’azienda Adobe, avvenuta nell’Ottobre 2013, in cui furono esposti i dati di milioni di utenti.

La lista del 2013 include password come “adobe123” e “photoshop”, perché utilizzate dagli utenti delle piattaforme Adobe; altro errore comune è utilizzare password semplici da ricordare che includano il nome dell’applicazione cui consentono l’accesso (e.g. Facebook123).

password2

Nel 2012 le tre “peggiori” password furono “password”, “123456” and “12345678”, quest’anno il termine “password” ha perso la vetta della classifica a vantaggio di “123456.”, ma voi realmente pensate che sia cambiato molto dalla prospettiva dell’attaccante? Davvero troppo facile indovinare le password di milioni di utenti, cosa ne pensate? Se la vostra password è inclusa nell’elenco correte a cambiarla!

Come scegliere una password robusta?

Di seguito qualche  suggerimento utile per la scelta di password robuste:

  • Utilizzare password con una lunghezza superiori ai 7 caratteri;
  • Utilizzare password composte da caratteri maiuscoli, minuscoli, numeri e simboli (e.g. #, $, @);
  • Utilizzare almeno un carattere minuscolo ed uno maiuscolo, almeno un numero e possibilmente caratteri speciali. In questo modo aumenteremo quello che in gergo si definisce lo “spazio delle chiavi”, ovvero le possibili password che l’utente può scegliere;
  • Un suggerimento potrebbe essere quello di usare numeri in luogo di lettere, ad esempio cambiando la  “i” in “1”, “E” in “3”, “A” in “4” (oppure in @), “S” in “5”, “G” in “6”, “O” in “0. Anche così aumenteremo lo spazio delle chiavi.
  • Evitare l’uso di parole di senso compiuto usate comunemente, sono le prime parole a essere utilizzate dagli applicativi che basandosi su dizionari internazionali provano tutte le parole in essi inclusi;
  • Evitare i nomi dei familiari, le date di nascita dei parenti più stretti, e qualunque termine che sia legato ad informazioni personali facilmente ottenibili da un attaccante;
  • Mai usare password contenenti porzioni dell’ID utente o dell’indirizzo e-mail;
  • Non utilizzare la stessa password per numerosi servizi on-line;

E ora che avete scelto una password robusta, non vi resta che proteggerla seguendo qualche semplice regola:

  • Non condividere la propria password;
  • Non trascrivere la password su di un foglio di carta, potrete far peggio solo lasciandolo in prossimità del vostro PC;
  • Non digitare la password alla presenza di estranei;
  • Non archiviare le password in un file presente sul vostro pc;
  • Non memorizzare la password nel vostro browser;
  • Cambiare periodicamente le password;

Pochi accorgimenti possono sensibilmente aumentare la sicurezza delle vostre password.

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

3 commenti

Commenti e reazioni su:

Loading Facebook Comments ...

3 Comments

  1. Pingback: Le peggiori password e la gestione delle email i più letti della settimana

  2. Pingback: Le peggiori password del 2013 | Impressioni Informatiche

  3. Pingback: Quali sono le peggiori password del 2014? | Tech Economy

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This