Quante volte ci siamo sentiti dire di scegliere delle password alfa-numeriche, complicate, lunghe e magari anche con dei caratteri speciali? Praticamente sempre ma non lo facciamo perchรฉ altrimenti ce le dimentichiamo. Cosรฌ scegliamo il nome da nubile di nostra madre, il nome del cane, lโanno di nascita di qualcuno nella nostra famiglia (magari anche mescolando furbescamente i numeri e scrivendoli al contrario), o comunque cose che amiamo per ricordarcele meglio: niente di piรน sbagliato perchรฉ per chiunque vi conosca o voglia ingannarvi per accedere al vostro computer potrร facilmente farlo!
Allora, chissร , magari usiamo una password come QWER, oppure AWSEDR, o ancora Q1W2E3, 123456789, 0000000, 1111111, 12121212, Q!WโEยฃ, AWSEDRF, R5T6Y7U, ecc. Alcune sono alfa-numeriche e usano caratteri speciali, รจ vero, ma sono anche facili da individuare perchรฉ sono sempre legate all’idea che voi dobbiate ricordare la password e, quindi, cercherete sempre il modo piรน semplice per ricordarvela come uno schema sulla tastiera del tipo โbottone sopra-bottone sottoโ. I programmi di dictionary-attack (attacchi a dizionario), che utilizzano liste di chiavi simili a queste, non fanno fatica a trovare questo tipo di randomizzazione perchรฉ, alla fine, randomizzazione non รจ: essi, infatti, tentano di โforzare brutalmenteโ la password del vostro account provando ad inserire le varie possibilitร presenti nella loro memoria (parole del nostro linguaggio quotidiano, nomi propri, date, numeri e varie combinazioni prevedibili); tale procedimento richiede del tempo materiale ma puรฒ funzionare a meno che la nostra non sia una password completamente random e “senza senso”.
Detto questo, prima di decidere che tipo di password usare dobbiamo anche capire come sia possibile che qualcuno la rubi ed entri nel nostro sistema.
Il primo fattore in assoluto รจ lโingenuitร o quello che Kevin Mitnick chiama โlโelemento umanoโ. Cosa significa? Semplicemente che prima il malintenzionato si prende un poโ di tempo per informarsi su di noi, magari via internet, attraverso tutte le informazioni che gentilmente disseminiamo sui social-network e, poi, cercherร un diretto contatto con noi: per esempio, presentandosi come un operatore telefonico che vuole assicurarsi che la linea di casa vostra (o della vostra azienda) stia funzionando a dovere, facendovi delle domande specifiche e creando con voi una relazione di fiducia. Dopodichรฉ, immaginerete, non sarร troppo difficile per lui riuscire ad inserirsi nel nostro computer anche solamente chiedendoci, gentilmente, di scaricare un programma per migliorare la velocitร della nostra connessione (ovviamente con al suo interno un bel trojan nascosto che gli aprirร le porte del nostro sistema). Questo esempio, che ho semplificato per comoditร , รจ stato tratto dal saggio di Kevin Mitnick โThe art of deceptionโ in cui egli spiega punto per punto come ciรฒ avvenga.
Quindi, le prime quattro regole per non fare entrare un estraneo nei nostri account sono le piรน facili ma, paradossalmente, anche le piรน difficili da mettere in pratica:
- Non usare password semplici, legate alla nostra vita personale, con ripetizioni di numeri o liste, nรฉ ovvie combinazioni che non lasciano spazio alla fantasia. Se riceviamo un sms o una chiamata chiedendoci di inviare il codice di verifica o la password del nostro account e-mail perchรฉ รจ stato compromesso non rispondere.
- Non comunicare a nessuno le nostre password e non fidarsi ciecamente della gente che ci chiama al telefono soprattutto se non siamo stati noi a contattarli precedetemente.
- Mai usare la stessa password.
- Cambiare spesso le vostre password o, per lo meno, se crediamo che uno dei nostri account sia stato compromesso.
E la quinta regola? Sicuramente, a questo punto, pensando a tutta la randomizzazione ed alla lunghezza di cui abbiamo bisogno per creare una sola password solida ed al fatto che ne dobbiamo effettivamente creare piรน di una ci scoraggiamo.
Ci sono due programmi in specifico (LastPass e KeePass) che ci aiutano a salvare le nostre password, a randomizzarle e, persino, a non farcele conoscere cosรฌ da evitare di dirle a qualcuno.
Bisogna perรฒ capire che non risolveranno mai completamente il problema: non esiste la password perfetta e tutti i programmi ed i sistemi hanno delle falle e come tali possono essere hackerati. Ma, se cosรฌ non fosse e perdessimo tutte le nostre password non potremmo nemmeno piรน recuperare i nostri account: per cui il rischio, in qualche modo, vale la candela.
Per informazioni relative al download ed uso di LastPass (anche per utenti poco esperti) cliccate sul seguente link: https://codexsprawl.wordpress.com/2015/06/24/60/.
Per informazioni relative al download ed uso di KeePass (consigliato ad utenti esperti) cliccate sul seguente link: https://codexsprawl.wordpress.com/2015/07/02/keepass-un-alternativa-a-lastpass/.
Lascia un commento