Quante volte ci siamo sentiti dire di scegliere delle password alfa-numeriche, complicate, lunghe e magari anche con dei caratteri speciali? Praticamente sempre ma non lo facciamo perché altrimenti ce le dimentichiamo. Così scegliamo il nome da nubile di nostra madre, il nome del cane, l’anno di nascita di qualcuno nella nostra famiglia (magari anche mescolando furbescamente i numeri e scrivendoli al contrario), o comunque cose che amiamo per ricordarcele meglio: niente di più sbagliato perché per chiunque vi conosca o voglia ingannarvi per accedere al vostro computer potrà facilmente farlo!
Allora, chissà, magari usiamo una password come QWER, oppure AWSEDR, o ancora Q1W2E3, 123456789, 0000000, 1111111, 12121212, Q!W”E£, AWSEDRF, R5T6Y7U, ecc. Alcune sono alfa-numeriche e usano caratteri speciali, è vero, ma sono anche facili da individuare perché sono sempre legate all’idea che voi dobbiate ricordare la password e, quindi, cercherete sempre il modo più semplice per ricordarvela come uno schema sulla tastiera del tipo “bottone sopra-bottone sotto”. I programmi di dictionary-attack (attacchi a dizionario), che utilizzano liste di chiavi simili a queste, non fanno fatica a trovare questo tipo di randomizzazione perché, alla fine, randomizzazione non è: essi, infatti, tentano di “forzare brutalmente” la password del vostro account provando ad inserire le varie possibilità presenti nella loro memoria (parole del nostro linguaggio quotidiano, nomi propri, date, numeri e varie combinazioni prevedibili); tale procedimento richiede del tempo materiale ma può funzionare a meno che la nostra non sia una password completamente random e “senza senso”.
Detto questo, prima di decidere che tipo di password usare dobbiamo anche capire come sia possibile che qualcuno la rubi ed entri nel nostro sistema.
Il primo fattore in assoluto è l’ingenuità o quello che Kevin Mitnick chiama “l’elemento umano”. Cosa significa? Semplicemente che prima il malintenzionato si prende un po’ di tempo per informarsi su di noi, magari via internet, attraverso tutte le informazioni che gentilmente disseminiamo sui social-network e, poi, cercherà un diretto contatto con noi: per esempio, presentandosi come un operatore telefonico che vuole assicurarsi che la linea di casa vostra (o della vostra azienda) stia funzionando a dovere, facendovi delle domande specifiche e creando con voi una relazione di fiducia. Dopodiché, immaginerete, non sarà troppo difficile per lui riuscire ad inserirsi nel nostro computer anche solamente chiedendoci, gentilmente, di scaricare un programma per migliorare la velocità della nostra connessione (ovviamente con al suo interno un bel trojan nascosto che gli aprirà le porte del nostro sistema). Questo esempio, che ho semplificato per comodità, è stato tratto dal saggio di Kevin Mitnick “The art of deception” in cui egli spiega punto per punto come ciò avvenga.
Quindi, le prime quattro regole per non fare entrare un estraneo nei nostri account sono le più facili ma, paradossalmente, anche le più difficili da mettere in pratica:
- Non usare password semplici, legate alla nostra vita personale, con ripetizioni di numeri o liste, né ovvie combinazioni che non lasciano spazio alla fantasia. Se riceviamo un sms o una chiamata chiedendoci di inviare il codice di verifica o la password del nostro account e-mail perché è stato compromesso non rispondere.
- Non comunicare a nessuno le nostre password e non fidarsi ciecamente della gente che ci chiama al telefono soprattutto se non siamo stati noi a contattarli precedetemente.
- Mai usare la stessa password.
- Cambiare spesso le vostre password o, per lo meno, se crediamo che uno dei nostri account sia stato compromesso.
E la quinta regola? Sicuramente, a questo punto, pensando a tutta la randomizzazione ed alla lunghezza di cui abbiamo bisogno per creare una sola password solida ed al fatto che ne dobbiamo effettivamente creare più di una ci scoraggiamo.
Ci sono due programmi in specifico (LastPass e KeePass) che ci aiutano a salvare le nostre password, a randomizzarle e, persino, a non farcele conoscere così da evitare di dirle a qualcuno.
Bisogna però capire che non risolveranno mai completamente il problema: non esiste la password perfetta e tutti i programmi ed i sistemi hanno delle falle e come tali possono essere hackerati. Ma, se così non fosse e perdessimo tutte le nostre password non potremmo nemmeno più recuperare i nostri account: per cui il rischio, in qualche modo, vale la candela.
Per informazioni relative al download ed uso di LastPass (anche per utenti poco esperti) cliccate sul seguente link: https://codexsprawl.wordpress.com/2015/06/24/60/.
Per informazioni relative al download ed uso di KeePass (consigliato ad utenti esperti) cliccate sul seguente link: https://codexsprawl.wordpress.com/2015/07/02/keepass-un-alternativa-a-lastpass/.