La password è la nuova “chiave di casa”

Scegliere password sicure e custodirle in modo efficiente, è sicuramente il primo passo verso un futuro protetto da attacchi informatici. 

Le password e i codici custodiscono informazioni personali, gli accessi alle proprie abitazioni, i propri conti correnti…insomma, sono un elemento importantissimo della nostra vita.

Purtroppo, la difficoltà che si ha nello sceglierle, ricordarle e mantenerle aggiornate portano l’utente a creare password facili, e quindi vulnerabili.

L’installatore di sistemi di sicurezza spesso non fa eccezione a questa tendenza; infatti sono tantissimi i sistemi di allarme e videosorveglianza che rimangono con password di default.

La gravità di questa abitudine è facilmente intuibile. I valori di default di ogni produttore di sistemi di sicurezza sono informazioni reperibili facilmente sul web da chiunque e, chi li volesse violare, tenterà di inserire per primi proprio i codici di fabbrica.

Ma come viene forzata o rubata una password? I metodi sono principalmente due: ingegneria sociale e attacco “brute force”.

Ingegneria sociale

L’ingegneria sociale è quell’insieme di tecniche che sono votate a indurre l’utente a consegnare la propria password spontaneamente: come ad esempio le mail dove la propria banca chiede informazioni di controllo account, magari paventando una “violazione della sicurezza”. In realtà sono siti internet “civetta” – perfettamente identici agli originali – oppure altri strumenti creati con l’unico scopo quello di rubare le credenziali.

Non sono banalità! Questi attacchi sono fatti con cura e con grande perizia informatica ed è davvero facile, soprattutto nella frenesia del lavoro, cascare nella trappola.

Peraltro, il massivo utilizzo dei social network permette a chi perpetra questi attacchi di attingere a un gran numero di informazioni sensibili, che potranno essere utilizzate per renderli molto più credibili.

Brute force

Gli attacchi “brute force” prevedono l’utilizzo della potenza di calcolo di uno o più computer, per poter così forzare una password eseguendo tutte le combinazioni possibili.

Questo è un attacco non semplice da attuare, soprattutto se la password è sicura e lunga, quindi gli hacker sono soliti ad attingere nuovamente ai social network per restringere il campo.

Dovendo provare a forzare la password di una mail personale, l’hacker attingerà prima di tutto alle informazioni presenti sui social: date importanti. Ad esempio, data nascita della persona sotto attacco o dei parenti stretti, matrimonio, luoghi di nascita, ecc… e con tutte queste informazioni il campo di lavoro dell’attacco di forza bruta si restringe.

Questo metodo non dà la certezza matematica, ma è noto universalmente – a livello statistico – che oltre il 70% delle password facciano riferimento a dati personali del possessore.

Quindi come difendersi?

I consigli sono sempre gli stessi ma purtroppo faticano a diventare una sana abitudine:

  1. utilizzare password lunghe e complesse (almeno 16 caratteri di cui una maiuscola, un numero e un carattere speciale);
  2. utilizzarne una diversa per ogni servizio (o almeno in parte) scegliendola non sulla base di informazioni reperibili sui social.
Consigli per l’installatore

Per il codice installatore di sistemi d’allarme, che normalmente è solo numerico, si consiglia un metodo facilmente realizzabile da chiunque: utilizzare una parte fissa (uguale da impianto ad impianto) seguita da una parte variabile legata, ad esempio, alle iniziali del cliente o alla data di installazione.

Ad esempio, per l’impianto d’allarme installato il 20 Gennaio 2020, si potrebbe utilizzare il codice installatore 8220120 con le prime due cifre fisse e le successive legate alla data.

Come archiviare le password?

Da un lato il buon senso suggerisce di differenziare le password da servizio a servizio, dall’altro l’esperienza indica l’impossibilità oggettiva di ricordarle con il solo ausilio della memoria.

I password manager sul mercato sono innumerevoli, gratuiti e a pagamento, con pregi e difetti.

“Standard Notes” è un esempio di password manager gratuito disponibile per iOS, Android, MacOS, Windows e Linux. Non nasce specificatamente per questo scopo quanto piuttosto per archiviare qualsiasi annotazione. Adotta standard di crittografia fra i più avanzati (AES-256) e permette di impostare una doppia chiave per accedere alle informazioni (ad esempio codice più riconoscimento facciale su iPhone). Ogni annotazione può essere poi ulteriormente criptata per renderla davvero inaccessibile.

Difendere la privacy

Dal momento che sempre più oggetti nelle case e negli uffici sono connessi alla rete, la sicurezza informatica sarà sicuramente una delle sfide da qui ai prossimi dieci anni.

La scelta di password sicure e la custodia delle stesse in maniera efficiente, è sicuramente il primo passo che si dovrebbe fare per difendere la propria privacy.

Dire che la propria privacy non interessa perché non si ha nulla da nascondere, equivarrebbe infatti a dire che la libertà di parola non è importante perché non si ha niente da dire.

Richiedi maggiori informazioni










Nome*

Cognome*

Azienda

E-mail*

Telefono

Oggetto

Messaggio

Ho letto e accetto l'informativa sulla privacy*

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.