Quanto è sicura la tua password? 5 regole semplici per sceglierla

In questo breve ma utile articolo parleremo di Password: come scegliere una password sicura, quali caratteristiche deve rispettare, quali attacchi informatici sfruttano le password deboli e perché è fondamentale scegliere password complesse e diverse per accedere ai servizi online.

Partiamo con il nostro articolo, mettetevi comodi.

Buona lettura,

La password
Cos’è una password sicura?
Scegliere una password sicura: quanto è importante
Attacchi informatici alle password deboli
Custodire le password
Password più diffuse
Riutilizzo delle password: cosa state rischiando
Prevenire il furto di password
Password debole: come trovarle
5 consigli per scegliere una password forte

Che cos’è la password?

Siamo partiti dagli albori, dal significato di password e dalla sua utilità.

Una password (in italiano parola d’ordine) è una parola di senso non compiuto formata da caratteri alfanumerici che permette all’utente di accedere (in modo autentico) ad un servizio. Le password notoriamente possono essere composte da lettere (MAIUSCOLE o minuscole), numeri o addirittura simboli.

Da definizione, password è una parola unica al mondo e che, associata ad un altro identificativo (nome utente, e-mail ID), permette di riconoscere l’utente: è assolutamente esclusiva. O almeno così dovrebbe essere.

Che cos’è la password sicura?

Creare una password è un compito semplice, ma dare vita ad una password sicura può rivelarsi un compito arduo. Notoriamente, ogni utente che si ritrova a doversi iscrivere ad un servizio online cercherà una parola d’accesso facilmente riconoscibile e che possa ricordare con facilità nel momento del bisogno: ebbene, è proprio questa deduzione che lo porta ad agire erroneamente.

Le parole che ricordiamo subito sono sempre più spesso i nomi dei nostri famigliari, le date di nascita di qualcuno a cui teniamo, i nomi dei nostri amati animali e ancora, i nostri dati anagrafici. Ebbene, nello scegliere una password sicura dobbiamo dimenticarci di tutte queste certezze: una password forte non deve mai rimandare a informazioni che riguardano la nostra vita e per questo, difficilmente potremo ricordarla a memoria.

A tal proposito la password sicura per eccellenza deve possedere 4 caratteristiche:

deve essere lunga;
composta da lettere, numeri e simboli (possibilmente meglio se non ripetuti);
deve essere unica (non va riutilizzata per l’accesso ad altri siti)
deve essere segreta: solamente voi dovrete esserne a conoscenza.

Per rendere meglio l’idea di cosa intendiamo: ecco un esempio di password debole e un esempio di password sicura.

password esempio

Quanto è importante da 1 a 10 scegliere una password sicura

10, forse 11.

Scegliere una parola di accesso il più possibile complessa è fondamentale per incrementare la sicurezza account dell’utente. Il nome utente (o la vostra e-mail) e la password sono la barriera che divide voi e i vostri dati dal resto del mondo.

Pensiamo banalmente ad un account Amazon o a qualsiasi account di e-commerce nel quale fate acquisti, quanti dati personali/fiscali avete salvato al suo interno?

Per aiutarvi ne elenchiamo alcuni noi: indirizzo di residenza che magari sarà diverso da quello di consegna (avete indicato anche l’indirizzo del vostro ufficio, o no?), il numero di carta di credito con relativo CVV, numero di cellulare, i dati anagrafici, orari di disponibilità, le vostre preferenze di acquisto e molto altro.

Ebbene, a proteggere questa schiera di informazioni più che preziose per voi, ci sono 2 o più fattori: la password senza dubbio rientra tra questi.
Non possiamo certo affidare la protezione della carta di credito alla password 123456. Di qui la necessità di implementare sempre password sicure e impugnabili. Ma in questo cammino non siete soli, sappiate solo che la password sicura rappresenta per molti siti web o e-commerce uno dei punti deboli sfruttabili dagli hacker per avere accesso facile a dati importanti.

Attacchi informatici che scoprono le password deboli

Le tecniche di hacking più diffuse per rubare password

Vi abbiamo sempre messo in guardia dal problema del furto delle password in funzione alla presenza assidua sul web di criminali informatici pronti ad entrare nei vostri account e fare razzia di informazioni. Esistono diversi metodi di hacking utilizzati dai criminali per forzare l’accesso ai dati dell’utente manomettendo la sicurezza delle password e oggi vi parleremo dei i 4 modi più utilizzati.

Ebbene siamo arrivati al dunque, esistono in particolare 4 tipologie di attacco informatico indirizzati a forzare le password dei vostri account online e sono esattamente queste:

Tecnica del dizionario

Viene chiamato anche Attacco a dizionario ed è una tecnica sfruttata dagli hacker alle prime armi. Questo metodo permette manomettere e aggirare il meccanismo di autenticazione di un sito web o ad un’applicazione web-based. L’hacker proverà ad accedere ai dati inserendo in modo continuo possibili password: solo le parole ritenute più probabili vengono testate.

Se la vostra azienda possiede un sito web o un e-commerce, gli attacchi a dizionario possono essere drasticamente ridotti limitando il numero massimo di tentativi di autenticazione (es.: dopo aver tentato due volte l’accesso e aver sbagliato password, il sistema si blocca).

Credential Stuffing

Tra gli attacchi informatici indirizzati al furto di credenziali e password esiste proprio il Credential Stuffing. Questa tecnica sta letteralmente prendendo il sopravvento rispetto all’attacco Brute Force proprio perché sfrutta la debolezza della maggior parte degli utenti: le persone usano le stesse password per accedere a più applicazioni, siti e servizi. Gli hacker infatti riescono a compromettere più account legati alla stessa persona utilizzando le credenziali rubate in precedenti data breach.

Brute Force

Anche nel caso di attacco Brute Force, l’hacker o il gruppo di hacker procede per tentativi nel decifrare la password di accesso dell’utente. A differenza dell’attacco a dizionario, dove i tentativi vengono selezionati e solamente le parole considerate attinenti vengono testate, nell’attacco di forza bruta i tentativi sono casuali: vengono testate in maniera automatica tutte le combinazioni alfanumeriche possibili finché non si trova quella giusta.
Non esiste alcuna strategia intellettuale a guida di questo cyber attacchi. La validità di un attacco brute force dipenderà sempre dalla potenza della macchina in possesso all’hacker: più tentativi riescono a fare, più possibilità hanno di indovinare la combinazione esatta.

Phishing

Ultima tecnica di attacco password ma non certo per importanza è proprio il phishing.

ne abbiamo già parlato in un articolo interamente dedicato del nostro blog, ma per rispolverare la memoria sappiate che il phishing o anche chiamata truffa via e-mail è un tentativo di fronte che parte dall’hacker e che finge di essere una banca, la vostra compagnia telefonica o addirittura Amazon. Attraverso un messaggio e-mail cercheranno di persuadervi a rivelare loro alcune informazioni importanti, tra cui proprio la vostra password di accesso. Il phishing rappresenta oggi la prima tecnica di furto di password e credenziali in generale.

password sicura

Custodire le password: il metodo più efficace e sicuro

Uno dei problemi più rilevanti della sicurezza delle password è proprio il loro archivio/gestione, in altre parole:

Dove nascondere una password per tenerla segreta e dove trovarla rapidamente al bisogno?

Emblema degli emblemi, nel risolvere questo dilemma quanti post-it o foglietti sparsi sono andati dispersi con le vostre credenziali di accesso scritte sopra?
Ecco cosa potrebbe fare al caso vostro: un password manager.

I gestori di password o in inglese per l’appunto password manager sono dei software che agevolano l’utente nell’archiviazione di tutte le password ovviando il problema del “non ricordo la password di questo sito” e “dove avrò nascosto la password, l’ho scritta su un post-it rosa!“.
Non solo, i password manager sono all’occorrenza in grado di generare e fornire all’utente password sicure per ogni servizio, suggerendole.
Aldilà della gestione password, un buon software di questa categoria è anche perfettamente in grado di predisporre la condivisione e la valutazione di sicurezza delle parole chiave. Morale della storia, all’utente basterà ricordare una e una sola password per accedere a tutte le altre in completa sicurezza.

Le password più diffuse

Se nell’elenco che segue, riconoscete una tra le password che utilizzate normalmente anche voi, considerate seriamente di cambiarla immediatamente. Ebbene sì, in questo caso vi parleremo proprio delle password più utilizzate dagli utenti italiani negli ultimi anni.
L’elenco delle chiavi di accesso più utilizzate è estremamente lungo, ma noi vogliamo solo indicarvi le prime 10 posizioni: capirete come spesso e volentieri siamo proprio noi a consegnare i nostri dati in mano alle organizzazioni di criminali informatici, senza che questi ultimi facciano il benché minimo sforzo.

Ed eccola qui,

La lista di password più usate

123456
12345678
picture1
password
qwerty
111111
123123
12345
123456789
calcio

Pensate dunque che solo facendo riferimento a queste prime 10 parole chiave, un hacker di medie capacità riesce ad indovinarle in meno di un secondo.

Stessa password ma servizi online diversi: quali rischi corre l’utente?

In inglese la definizione di utilizzo multiplo della stessa password viene definito password reuse. Questo comportamento reiterato rappresenta l’errore più grave in termini di sicurezza: pensate dunque che nel caso in cui un hacker dovesse riuscire a rubare la password che utilizziamo per accedere a più servizi, riuscire ad accedere anche agli altri sarebbe un vero gioco da ragazzi.

Come prevenire il furto di password

Siete arrivati fino in fondo al nostro articolo Quanto è sicura la tua password? 5 regole semplici per sceglierla e finalmente arriviamo al punto focale, il nostro obiettivo è sempre lo stesso: mettervi in guardia da tutto ciò che minaccia la vostra sicurezza e in che modo una semplice parolina può mettervi al riparo da attacchi informatici e dal furto di dati.

Le password oggi costituiscono un tassello fondamentale ma ahimè sottovalutato della sicurezza informatica, sia come utenti privati sia come membri attivi sia di un’organizzazione aziendale. Avete sulle spalle una grossa responsabilità: far sì che nessuno dall’esterno possa avere accesso alle informazioni che vi riguardano e che riguardano il vostro lavoro.

Anche se non siete dei tecnici informatici, dovrete proteggere ciò che vi riguarda evitando il più possibile che hacker e virus manomettano entrino in possesso di informazioni che vi riguardano. Ecco

5 regole per allontanare gli hacker dalle vostre password:

non inserite dati personali nelle vostre password
create password complesse (se necessario ricorrete ad un password manager, i costi di questo servizio sono davvero irrisori)
non riutilizzate le password su più siti
inserite i vostri dati solo su portali web sicuri
non condividete le vostre password

Quanto è sicura la tua password?

5 consigli per scegliere una password a prova di hacker

Cambiate password di accesso ai servizi ciclicamente;
Le password più sicure sono di 8 e 64 caratteri e se possibile, inserite numeri, lettere e caratteri speciali come (.,[()]‘&;?\:;“) ;
Mantenete la vostra password riservata (non comunicatela ad anima viva);
Non scrivete la password su un post-it, piuttosto utilizzate i password manager;
Non inserite dati personali nella password;

Come rilevare la presenza di password deboli

All’interno di un sistema informatico cooperano e comunicano differenti tecnologie: dispositivi, sistemi operativi, software. Spesso molti di questi servizi vengono protetti da password che cambiano (o meno) a seconda del tecnico che li gestisce.

Grazie ad un Vulnerability Assessment della rete, Cyberment è in grado di rilevare in qualsiasi momento la presenza di password deboli o già hackerate all’interno dell’infrastruttura informatica aziendale.

Per individuare delle violazioni della sicurezza o la presenza di configurazioni errate (tra cui anche la presenza di password poco sicure), Cyberment raccomanda un’analisi di sicurezza IT dell’azienda al fine di intervenire solo dove necessario, senza il bisogno di controllare dispositivo per dispositivo la solidità delle impostazioni.

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.