Password: una per tutti, tutti per una.

By 23 gennaio 2017Blog

Internet Survival Kit – Come sopravvivere su Internet

Collegarsi a Internet e navigare tra la vastità di contenuti presenti sulla rete o anche solo per accedere ai propri profili social è un’attività che la gran parte degli utenti effettua ormai quotidianamente sia per lavoro che per interesse personale. Internet, la rete delle reti a cui tutto il mondo è collegato, può celare insidie e trappole nelle quali anche un utente attento potrebbe incappare. Questa guida, distribuita su più articoli, è fatta per chi vuole migliorare la propria esperienza utente e collegarsi a internet in modo più sicuro e più preparato verso chi, fa di questo mezzo, uno strumento per ingannare un utente ignaro e inconsapevole.

0.1 – Password: una per tutti, tutti per una.

Tutti noi abbiamo più di una password da dover gestire, l’accesso alla posta elettronica, i vari profili social come Facebook, Twitter, Instagram e tutti gli altri per ordine di popolarità, il conto corrente bancario, l’accesso ai servizi professionali e personali, il nostro negozio online preferito… insomma, abbiamo tante password da dover ricordare e inserire ogni giorno che, molti degli utenti internet, si semplificano il compito inserendo la stessa password per tutti i sistemi a cui si devono collegare. Questa è indubbiamente una delle pratiche più utilizzate e allo stesso tempo la più sbagliata se si vuole consentire ad un malintenzionato, per usare un eufemismo, di impossessarsi dei nostri dati e in molti casi di farsi i fatti nostri collegandosi ai nostri dati privati. Se vogliamo peggiorare la situazione consideriamo che la gran parte di questi utenti, oltre ad usare la stessa password uguale per tutti gli accessi, usano una password molto facile da individuare, tipo la propria data di nascita, il nome del proprio cane o fidanzata, la marca della propria auto o comunque una parola legata a qualcosa di personale che, da una rapida indagine sui profili social dell’utente, potrebbe emergere in modo evidente. Se il vostro fido è la cosa a cui più tenete e pubblicate continuamente foto su di lui nei vostri profili social, si potrebbe intuire facilmente che inserire come password il nome del vostro fedele compagno non è certo una scelta sicura. Evitate pensieri del tipo “ma chi verrebbe mai a cercare le mie cose!”, “tanto io non ho nulla da nascondere!”, “figurati se a qualcuno viene in mente il cognome di mia nonna da nubile!”. Se avete mai pensato una di queste cose o vi sentite tirati in causa forse questo articolo è scritto proprio per voi e da oggi dovrete cambiare approccio nel gestire i vostri account. Si perchè il rischio, come molti potrebbero pensare, non include solo il rischio di perdere dei dati che fino a quel momento potevano essere considerati come privati, il rischio è anche quello di subire un furto d’identità. Se non avete nulla da nascondere questo vi fa molto onore ma il vostro account Facebook, impersonato da qualcun altro per spacciarsi per una persona diversa da quella che è realmente, è appetibile per tante persone che fanno della rete un luogo in cui ingannare il prossimo cercando di ottenerne un ritorno a volte economico a volte per semplice ritorsione o vendetta. Ora vi sentite meno sicuri? Bene, vuol dire che questo articolo fa proprio al caso vostro.

Attacco di forza bruta

Come possiamo proteggerci da tutto questo? Come posso collegarmi a internet in modo più sicuro rispetto ad un utente che possiamo definire attaccabile? Le regole sono poche e semplici, l’importante come sempre è applicare regolarmente ciò che si acquisisce a costo di fare uno sforzo in più rispetto ad una prassi che di sicuro ha ben poco. Prima di tutto le password devono essere composte da una lunghezza minima di caratteri. Se usiamo una password con un numero di caratteri esiguo potrebbe essere intercettata grazie ad una tecnica informatica definita Brute Force. Questa tecnica potrebbe consentire ad un malintenzionato di scoprire la nostra password semplicemente provando, grazie alla velocità con cui un computer riesce ad elaborare le informazioni, tutte le combinazioni possibili, ad esempio posso provare A, poi B, poi C… AA, AB, AC, AAA, BBB, CCC… fino a combinazioni con sempre più caratteri fino ad arrivare alla “combinazione” identica alla nostra password. Se la password è MARIO, quando il sistema di Brute Force arriva alla combinazione AAAAA manca veramente poco per arrivare alla nostra password, in sequenza verranno provate le combinazioni MAAAA, MARAA, MARIA, MARIO, Bingo! Questa è la nostra password e permetterebbe a chiunque di accedere ad uno nostro account, figuriamoci se è identica per ognuno degli account registrati da quando utilizziamo internet. Prima di procedere con la sostituzione compulsiva di tutte le vostre password aspettate un attimo, ci sono ancora alcune cose importanti da sapere. Di quanti caratteri deve essere composta la mia password? La risposta è semplice, basta un numero, ma per capire da dove deriva quel numero dobbiamo prendere in considerazione la potenza di elaborazione di un sistema informatico. Non entrerò nel tecnico, non è questo l’articolo giusto, spiegherò solo i concetti di base che permetteranno a tutti di comprendere perchè è necessario modificare le proprie password. Un elaboratore informatico, detto comunemente computer o PC o per i più cool Mac, ha una capacità di elaborare un numero finito di informazioni per secondo, questo significa che può tentare un numero massimo di combinazioni per secondo per risalire alla vera password ad esempio, se il mio computer riesce a provare 10 password al secondo per risalire alla combinazione della mia password sono necessari almeno 1000 tentativi di combinazioni diverse e impiegherò al massimo 100 secondi per avere a disposizione la password giusta. 100 secondi per avere a disposizione una password di un qualsiasi account non sono tanti… Questo è solo un esempio, se invece prendiamo dei dati più vicini al mondo reale possiamo fare delle stime sul tempo necessario per scoprire la password di un qualsiasi account. Se prendiamo in considerazione che un attacco ad un account online riesce ad eseguire almeno 1.000 tentativi per secondo, ne deriva che con una password di:

  • 5 caratteri impiega 3-4 ore
  • 6 caratteri impiega 3 giorni
  • 7 caratteri impiega 3 mesi
  • 8 caratteri impiega 9 anni

Leggendo i quattro casi è facile intuire quanto sia più conveniente ma soprattutto sicuro inserire una password di almeno 8 caratteri invece che 5. Tutti questi valori si amplificano utilizzando caratteri con combinazioni di numeri, maiuscole e minuscole ma, la cosa che rende la nostra password a prova di attacco Brute Force, sono i caratteri speciali.

Qualche esempio?

  • “mario” sono necessarie almeno 3-4 ore per individuare la password
  • “Mario” stessa password di prima ma con la prima lettera maiuscola, sono necessari 4 giorni di tentativi
  • “M4rio” lo stesso numero di caratteri ma al posto di una lettera un numero, sono necessarie una 1,5 settimane
  • “M4rio!” e se aggiungo un punto esclamativo alla fine? almeno 23 anni

Se volessimo rendere la vita difficile ad un ipotetico aggressore ci basterebbe complicare ulteriormente la nostra password per renderla indecifrabile, con la password:

  • “M4rio!!” sono necessari “solo” 22.44 secoli di tentativi
  • “M4rio!!!” sono necessari 2.13 centinaia di secoli….

Con quest’ultima password possiamo sentirci un po’ più tranquilli, almeno ai giorni nostri. Arrivati a questo punto abbiamo più chiaro il motivo che spinge gran parte dei sistemi di registrazione online a richiederci la creazione di una password con una complessità pari all’ultima mostrata negli esempi. La scelta di una password di questo tipo, unita a quella di rendere ogni password unica e dedicata al singolo account e non condivisa con tutti quelli in nostro possesso, sono il primo gradino per rendere la nostra esperienza utente sulla rete un po’ più sicura e priva di rischi.

Una per tutti

Prendere in considerazione di non avere una password unica per ogni account in molti farà sorgere la perplessità di come riuscire a memorizzare tutte le password diverse tra loro e con una complessità tale che rende umanamente impossibile ricordare l’esatta combinazione di caratteri speciali, numeri e lettere per ognuno degli account. Appunto perchè è umanamente impossibile ricordarsi decine di password complesse sono stati realizzati dei programmi che consentono di salvarsi tutte le password dei nostri account decifrandole con una Master password, cioè una password principale. I programmi di gestione delle password (Password Manager) sono programmi che permettono di creare un elenco di account e di associare username, password e indirizzo del sito in modo da potersi collegare in modo sicuro senza nemmeno dover digitare la password, il password manager penserà tutto a lui. L’unica cosa che ci dovremo ricordare sarà la password principale e di aggiungere i nostri nuovi account all’elenco di quelli già esistenti. Questi programmi sono anche dotati di generatori di password casuali, non ci dovremo preoccupare di inventare una combinazione diversa ogni volta, formata da una serie di lettere, numeri e caratteri speciali, il sistema ci suggerirà una combinazione a caso (random) da aggiungere come password di accesso al nostro nuovo account. Se siete intimoriti nel salvare le vostre password in un sistema online esistono programmi anche da installare sul vostro computer personale o dell’ufficio, potete scegliere se utilizzare una versione completamente online, quindi accessibile anche da dispositivi mobili, oppure scaricare sul proprio computer un password manager in grado di archiviare tutte le vostre password sul disco del vostro computer. La sicurezza di questi programmi è data dal sistema di cifratura messo in pratica per cifrare tutte le vostre password, questo significa che nessuno oltre a voi o a chi conosce la master password potrà accedere alle vostre password. Ricordatevi anche che in caso di smarrimento della password principale non sarà più possibile decifrare i vostri dati e nessun altro sarà in grado di farlo. Proteggere i propri account personali è il primo passo verso un’identità digitale più sicura, non sottovalutate i rischi e i pericoli legati ad un uso improprio delle vostre informazioni private, i vostri account di posta o social così come l’accesso al vostro computer personale sono le chiavi di ingresso nella vostra vita digitale, pubblica e privata.

Password Manager

Versioni Online:

  • LastPass – Tutte le piattaforme Desktop e Mobile – Free per Desktop $12 / anno versione Mobile
  • PassPack – Tutte le piattaforme Desktop e Mobile – Free con limite di 100 password oppure $1.5 / mese

Versioni Desktop:

Links:

Fabio Ferrari

Author Fabio Ferrari

Quando da bambino mi dicevano che avevo la testa fra le nuvole non immaginavo che quella sarebbe diventata la mia professione. Di quel ricordo conservo l'entusiasmo, la curiosità e la voglia di imparare ogni giorno, i miei giocattoli si sono trasformati in infrastrutture in cloud geograficamente distribuite.

More posts by Fabio Ferrari
Vai alla barra degli strumenti