Nella community di addetti ai lavori la metafora – tanto semplice quanto calzante – è nota da anni, ma è bene che un certo tipo di cultura cyber cominci a penetrare le maglie della società e a divenire pane quotidiano per quante più persone possibile. E allora ripetiamolo: le password sono come le mutande. Perché? Presto detto.
Le password come la biancheria intima
A nessuno verrebbe mai in mente di condividere con qualcuno la propria biancheria intima. A nessuno, o quasi, verrebbe in mente di lasciare le proprie mutande in giro. Tutti – si spera – le cambiamo spesso. Ecco, con le password è esattamente la stessa cosa. Condividerle non è mai una buona idea, anche se si tratta di farlo con il proprio o la propria partner o con un amico. Perché se è vero che un diamante è per sempre, non la stessa cosa si può dire dei rapporti umani, e una password lasciata nelle mani sbagliate può diventare un serio problema per la nostra privacy. D’altro canto, le password non dovrebbero essere lasciate in giro, ad esempio su dei post-it appiccicati sullo schermo dei nostri computer aziendali, ma nemmeno sui promemoria del nostro smartphone. L’ideale sarebbe conservarle in un luogo dove a nessun altro verrebbe in mente di cercare. Infine, sarebbe buona prassi cambiare ciclicamente le password che utilizziamo sui nostri dispositivi.
Il vademecum dell’Agenzia per la Cybersicurezza Nazionale
Nel giorno del Password Day, ricorrenza istituita a partire dal 2013 da Intel Security che cade il primo giovedì del mese di maggio, la sensibilizzazione verso un utilizzo consapevole del primo – e a volte unico – schermo che protegge la nostra vita oltre lo schermo da intrusioni indesiderate raggiunge il suo apice mediatico, nella speranza che quante più persone possibili non archivino la questione il giorno dopo.
Per questa occasione, anche l’Agenzia per la Cybersicurezza Nazionale, attraverso i suoi canali social, fornisce un rapido e sintetico vademecum per un corretto utilizzo delle password. Eccolo:
- Non utilizzare lettere e numeri in sequenza (ad esempio: abcdefg o 1234)
- Non utilizzare date di nascita (nostro o dei nostri congiunti) o il nostro nome e cognome. In generale, non utilizzare dati personali facilmente reperibili online
- Evitare di utilizzare password comuni, come il nome della squadra del cuore, o scritte in #Leet (la sostituzione delle lettere normali con caratteri non alfabetici scelte per la somiglianza del tratto o per assonanza fonetica, come P@$$w0rd)
- Non riutilizzare mai le password. Ogni password creata deve essere unica
- Combinare lettere, numeri e simboli (ad esempio !, &, %) per formare una password di almeno 12 caratteri. La presenza di combinazione casuali la renderà difficile da decifrare
- Creare password robuste come lunghe #passphrase in cui si combinano più parole in una lunga stringa di caratteri con l’aggiunta di numeri e simboli (ad esempio ilcaffemokapiubuono!)
- Utilizzare, quando possibile, un generatore di password e un gestore di password
- Utilizzare l’autenticazione a più fattori (#MFA) che aggiunge un ulteriore livello di sicurezza, richiedendo agli utenti una doppia validazione o una verifica aggiuntiva rispetto alla semplice password, attraverso dati biometrici, app di verifica e codici di accesso temporanei inviati a un dispositivo mobile oppure una domanda di sicurezza
In particolare su quest’ultimo punto, l’ACN ricorda che “abilitare l’autenticazione a due fattori riduce significativamente il rischio di accesso non autorizzato agli account anche se le password sono state compromesse. I sistemi biometrici, che includono la mappatura delle impronte digitali, il riconoscimento facciale e la scansione della retina, come le altre tecnologie cosiddette passwordless rendono il nostro account più sicuro”.
Le P@$$w0rd più utilizzate
Ma quali sono, generalmente, le password più utilizzate? Quella di maggior successo, ormai in classifica da quando se ne ha memoria, è l’immortale “1234“, seguita da “12345” e da “12345678”. A giocarsela c’è anche “Admin“, che in Italia è al primo posto. Tutte queste password, come anche il nome della squadra del cuore – o di quella più odiata -, sono decifrabili – anche grazie a sistemi automatizzati – in meno di un secondo. Vediamo infatti il dettaglio dei tempi necessari per “bucare” una password in base alla sua lunghezza e complessità.
Le dimensioni contano
- Una password di 8 caratteri composta esclusivamente da numeri, può essere violata in 0,1 secondi.
- Una password di 8 caratteri composta esclusivamente da lettere, viene violata in 2 secondi.
- Una password di 8 caratteri composta da una combinazione di lettere e numeri può essere violata in 10 secondi.
- Una password di 8 caratteri composta da una combinazione di lettere minuscole e maiuscole e numeri, può essere violata in 16 minuti.
- Una password come la precedente, ma con l’aggiunta di caratteri speciali, resiste 2,7 ore.
- Una password con le stesse caratteristiche della precedente, ma composta da 10 caratteri, resiste per 31 anni.
- Una password composta da soli numeri e lettere (minuscole) di 15 caratteri, arriva a essere sicura per millenni. Precisamente 31.709 anni.
- Una password di 15 caratteri composta da numeri, lettere maiuscole e minuscole e caratteri speciali non sarà mai violata.
Insomma, è il caso di dire che quando si parla di password le dimensioni contano.