Come rendere le tue password ‘quasi’ inviolabili
Sul finire dell’estate si sono verificati alcuni casi di violazioni di database che hanno messo in circolazione su Internet più di un centinaio di milioni di password. E, come al solito, sembra non ci sia nulla che possiamo fare — eccetto verificare se sei stato colpito.
E comunque non c’è nulla che puoi fare per prepararti alla prossima violazione di dati, spiega Jarno Niemelä, lead researcher dei Laboratori F-Secure.
‘Il trucco è utilizzare per una password una stringa molto lunga e casuale ,” spiega Jarno. “Una password dovrebbe essere lunga almeno 20 caratteri, ma se possibile anche 32.”
I criminali che tentano di violare i database che contengono password usano varie forme di attacchi basati su parole trovate nel dizionario. Questo metodo solitamente funziona abbastanza bene perché moltissimi utenti scelgono password terribili.
“Gli esseri umani sono in generale dei pessimi generatori di password,” spiega Jarno. “Non importa quanto unica tu pensi sia la tua password, i suoi componenti sono probabilmente presenti in qualche dizionario, e un cluster potente di cracking riuscirà a trovare la giusta combinazione.”
Ma ci sono un paio di ostacoli che remano contro questo consiglio — e due di essi dipendono dalle pratiche di sicurezza del servizio che stai utilizzando.
Per prima cosa, il sito o l’applicazione deve accettare password lunghe; inoltre, gli sviluppatori del software devono usare un qualsiasi genere di “hashing” per le password che archiviano.
L’hashing utilizza un algoritmo per nascondere le password così che le password non vengano archiviate in clear text. Ma Jarno raccomanda agli sviluppatori di compiere anche ulteriori passi per proteggere le password.
“Tu come cliente non puoi arrivare a influenzare il sistema di archiviazione delle password che i fornitori di servizi usano – precisa Jarno -, ma puoi dar filo da torcere agli hacker – tranne ai più esperti – usando password lunghe e casuali.”
Ora potresti pensare, “Grandioso! Ho password indecifrabili. Il problema è che sono davvero impossibili da memorizzare.”
Jarno suggerisce “di archiviare in qualche modo le password” — attraverso soluzioni come F-Secure KEY, che puoi usare gratuitamente sul tuo dispositivo. Molti password locker come KEY ti aiuteranno inoltre a generare password molto lunghe e complesse.
“Potrebbe anche essere una buona idea usare un singolo nome utente per ciascun servizio, e forse un’unica email per servizi importanti,” consiglia Jarno. “Il nome utente singolo ti darà maggiore privacy poiché così facendo non puoi essere tracciato facilmente attraverso i vari servizi.”
Jarno è abituato a dare questo consiglio anche ai suoi figli che giocano ai videogiochi online. Insegna loro a limitare l’impronta digitale che lasciano online attraverso il cambio costante dei loro nomi utente e di qualsiasi alias usato nei giochi che rende la loro identità visibile.
“E’ bene insegnare le pratiche basilari per una buona OpSec — operational security — quando i nostri figli sono ancora giovani.”
Potrebbe anche interessarti “Previsioni: non cambierai la tua password Wi-Fi nel 2016”.
[Immagine di fdecomite | Flickr]
Articolo tratto da “QUICK TIP: How To Make Your Passwords Nearly Uncrackable” di Jason Sattler, Social Media Consultant di F-Secure Corporation.
Categorie