31 agosto 2009

Una password a prova di hacker


La sicurezza dei nostri dati, su Internet, è quella che è. E non sto parlando della minaccia di sofisticate tecniche hacker per spillarvi numeri di carte di credito, o i messaggi privati dei social network, ma di qualcosa di più, come dire, “terra a terra”. Parlo di password. Pensiamoci: ci proteggiamo con firewall e antivirus di ultima generazione, magari stiamo pure attenti ad aggiornare il sistema operativo ogni due giorni, e poi ci accorgiamo che la vera difesa nei confronti delle informazioni private è rappresentata da cinque o sei, a volte meno a volte più, caratteri. Per buona parte dei criminali informatici trovare la nostra password è infinitamente più semplice che tentare di scavalcare il firewall, tanto per dirla tutta. Figuriamoci se gli diamo pure una mano, scegliendo password brevi o facilmente indovinabili, tipo “pippo”, “prova” o “password”. Giuro, c’è gente che lo fa davvero, l’ho vista coi miei occhi. Ma si tratta solo di un piccolo esempio di come NON deve essere una password. Per il resto, ecco un breve vademecum per sceglierla nel modo giusto e rendere difficile la vita di chi bussa alla porta del nostro computer e vuole entrare senza autorizzazione.

Tutte diverse
In un sondaggio dell’anno scorso, effettuato da Accenture, quasi la metà degli 800 partecipanti ha dichiarato di usare la stessa password per tutti i siti. Errore madornale, se ci pensiamo, perché trovata una, un criminale può accedere a tutti i servizi online dell’utente. Il primo consiglio, dunque, è di usare una password per ciascun sito o servizio che utilizziamo. Dato che, ovviamente, non deve trattarsi di password banali (ma di questo parleremo dopo), usate un “Password Manager”, come KeePass Password Safe, che troviamo gratuitamente su www.keepass.info. Si tratta di un programma che raccoglie le password in un archivio, proteggendolo con una sola password. Così ci basta ricordare quella. Qualcuno, a questo punto, può obiettare che, scoprendo quella password, il criminale troverà anche le altre. Vero, com’è vero che questa password deve essere la più lunga e complessa che abbiamo mai escogitato. Appuntiamocela su un foglio di carta NON nel computer.

Origine calcolata
Di base, quando si tratta di pensare a una password, utilizziamo un percorso piuttosto calcolato. Cioè, prima a una parola conosciuta, di senso compiuto, e poi a un modo per distorcerla. Di solito scrivendola al contrario. O, in quei siti che segnalano che “così la password non è sicura, usa anche numeri o caratteri non testuali”, aggiungiamo un numero. Che ovviamente è 1. Questo per dire che la password “prova” è terribile, ma non lo sono da meno anche “avopr” (che suona come una pernacchia alla nostra sicurezza) e “prova1”. Al limite, già un “1avopr” indica un po’ di sforzo, bravi.

Occhio al “bruto”
Uno dei metodi più utilizzati dai criminali informatici per indovinare le nostre password è un attacco di tipo “brute force”: si basa sull’uso di programmi che generano migliaia di password al minuto, e le inseriscono fino a trovare quella giusta. Ci sono programmi di brute force che generano le password casualmente, altri che sfruttano uno “storico” dei servizi web pubblici usati dalla vittima. Per esempio, blog e Tweeter. Sembra impossibile, eppure nel secondo caso le chance di “vittoria”, da parte de criminale, aumentano a dismisura, anche se ci siamo sforzati di pensare a una password decente. A questo punto, se proprio ce la dobbiamo giocare, almeno giochiamocela bene: usiamo un sito come www.goodpassword.com e diamo a lui il compito di generare una password DAVVERO casuale. E soprattutto lunga e ben diversificata. E se genera una password incomprensibile e difficile da ricordare? Ha fatto bene il suo lavoro.

Minuscolo e maiuscolo
È credenza comune quella che alternare lettere minuscole e maiuscole, in una password, ne garantisca l’efficacia. Con alcuni servizi è vero, con (molti) altri proprio no, perché questi NON distinguono tra lettere maiuscole e minuscole. Quindi, per loro, “prova”, “PROVA” o “PrOvA”, sono tre password esattamente uguali. Ma va bè, lo abbiamo ormai capito che “prova” è da scartare a priori, vero?

Se proprio non ce la facciamo…
Ok, niente password difficile da ricordare, proprio non ce la facciamo a vederla sotto gli occhi. Che si fa? Si pensa a una frase lunga, innanzitutto. Magari il titolo di un film, tipo “Mimì metallurgico ferito nell’onore”. E poi via coi capilettera: mmfno. Troppo corta: che ne diciamo di considerare le prime due lettere di ogni parola? “mimefeneon”. Wow, fantastica. Magari se ci aggiungiamo un numero sarebbe davvero il massimo. Per esempio, l’anno di uscita del film, il 1972. “mimefeneon1972”. Ecco, ora ci siamo davvero, complimenti.

Non quella!
Ovviamente, non è che adesso tutti ci mettiamo a usare “mimefeneon1972”, vero?
Condividi Il Post

Bookmark and Share

------------
Angelo Corsi
Fonte Wired Italia