Ogni servizio che utilizziamo in Rete, dall'account di posta elettronica al servizio di online banking, richiede l'uso di una password che, associata al nome utente scelto (username) permette di proteggere le proprie informazioni dagli accessi non autorizzati. Con il tempo sono poi divenute tantissime le password da ricordare. Molti programmi offrono poi la possibilità di proteggere con una password personale i documenti o i file da essi prodotti.

Le password più facili da violare sono ovviamente quelle basate su semplici parole: se una o più password, da voi utilizzate per l'accesso ai vari servizi online, sono la vostra data di nascita, il nome del cane, di un figlio oppure la città od il luogo di vacanza preferiti, è bene variarle immediatamente.

A tali informazioni è infatti molto semplice risalire, al giorno d'oggi, consultando – ad esempio – il profilo di un utente su Facebook.

Senza volerlo, quindi, l'utente più sprovveduto, diffondendo pubblicamente delle informazioni sulla sua vita privata o sui suoi interessi, può inconsapevolmente facilitare attacchi da parte di aggressori interessati ad accedere ai servizi online ai quali la medesima persona si è registrata.

Nello specchietto sotto riportato sono indicate le tempistiche che sono tipicamente necessarie per violare password di differenti tipologie e lunghezze.

Qual è la migliore strategia per generare una password "praticamente inespugnabile"?

Come spesso abbiamo ripetuto, l'approccio migliore consiste nel produrre una password contenenti una miscela di caratteri alfanumerici (lettere maiuscole, minuscoli e numeri) e possibilmente anche simboli o caratteri speciali (ad esempio "#", "%" oppure "!").

Ogni password, inoltre, una volta seguita l'indicazione di approntare una sequenza complessa di lettere e numeri, dovrebbe essere lunga almeno otto caratteri. In parole povere, comunque, una password diviene tanto più sicuro quanto è maggiore il numero di caratteri che essa contiene e quanto più diversa è la loro tipologia.

Un servizio utile è How Secure Is My Password. In questo caso non viene mostrato alcun giudizio: attraverso un apposito algoritmo, invece, il servizio prova a stabilire il tempo necessario per risalire alla password indicata ponendo in essere un attacco di tipo "brute force". Il brute force, come suggerisce il nome stesso, è un attacco che si basa su tentativi successivi: questo tipo di aggressione, tesa a recuperare una password, avviene quindi per iterazioni successive utilizzando tutte le combinazioni possibili, fino a trovare la parola chiave corretta. Il dictionary attack è invece un attacco basato sull'impiego di termini di uso comune: questo tipo di aggressione si basa sul fatto che molti utenti utilizzano, per proteggere i propri dati, parole che fanno parte del linguaggio, nomi propri od altri termini comuni. Le applicazioni utilizzate per sferrare questo tipo di attacchi attingono a dei veri e propri "dizionari" contenenti spesso decine di migliaia di parole italiane e straniere.

Un servizio come How Secure Is My Password si limita ad eseguire un calcolo basato su un ipotetico attacco "brute force". Come spiega l'autore del servizio, infatti, il meccanismo per la valutazione delle tempistiche necessarie per un'aggressione del genere si basa interamente sull'uso di codice JavaScript che, come noto, viene interamente eseguito lato client, da parte del browser web. Effettuare anche una verifica con un "dictionary attack" significherebbe far viaggiare in Rete la password indicata dall'utente (il dizionario dovrebbe risiedere lato server). L'autore di How Secure Is My Password ha quindi preferito limitarsi, ovviamente, ad un controllo "brute force".

Eccellente il servizio The Password Meter che, per ciascuna password specificata, effettua un'analisi alla ricerca del numero di caratteri utilizzati e delle diverse tipologie degli stessi: vengono quindi forniti consigli pratici per migliorare la "sicurezza" della password scelta. La piccola icona di colore blu evidenzia che, per la corrispondente caratteristica, la password indicata supera i requisiti minimi di sicurezza. L'icona verde, invece, sta a significare che si sono rispettati gli standard minimali mentre le altre due – gialla e rossa – evidenziano che la parola chiave introdotta potrebbe essere recuperata a causa di alcune sue "debolezze".

SplashData ha annunciato l'edizione 2015 della sua "Lista delle peggiori password" annuale evidenziando le password abitudinarie non sicure degli utenti di Internet.

"123456" e "password", ancora una volta regnano supreme come le password più comunemente utilizzate.

Nella quinta relazione annuale di SplashData, compilata da più di 2 milioni di password durante l'anno, trapelano alcune nuove e più lunghe password. Tuttavia, le password sono così semplici da rendere la loro lunghezza praticamente inutile come misura di sicurezza.

#PASSWORD