Le mie password sono deboli?

Questa è la tipica situazione in cui ti potresti trovare:

“Nuovo sito, dicono contenga il documento che mi serve per completare il report da consegnare entro ieri, mi chiede di registrarmi, nome, cognome e… password… Va beh, uso una delle solite password Password123!, ViaRomagna! o Marco1966!

Quante volte abbiamo usato combinazioni simili per creare password in poco tempo così da risolvere velocemente la fastidiosa fase di registrazione che ci impedisce di fruire la risorsa?

Comprensibile e condivisibile, ma quali sono gli effetti di tale comportamento?

Spesso ci ripetiamo “Tanto che cosa vuoi che succeda, è solo per una volta” ma bisogna tenere in considerazione che a certe password corrispondono più account su molteplici siti web, cosicché in caso di bisogno basterà provare la piccola lista che usiamo di solito e il gioco è fatto.

In questo articolo non vi mostreremo come gestire tante password o come proteggerle, e neanche come condividerle. Vogliamo, invece, aiutarvi a creare password robuste.

Come viene attaccata una password?

Di solito vengono alla mente due immagini: la prima quella di provare manualmente ogni singola password possibile, la seconda è quella dell’hacker che con una carrellata di tasti supera tutte le restrizioni ed entra nel sito del Pentagono. Proviamo invece a osservare i casi reali.

Per prima cosa l’attaccante crea un dizionario – termine tecnico per indicare una lista molto lunga di parole – di termini statisticamente più usati da quella persona, dunque tutte le parole della sua lingua madre, più tutte quelle di altre lingue da lei conosciute, termini gergali e altre parole di uso comune che non possono essere riportate pubblicamente, quali parolacce o nomi di oggetti/cose/luoghi che la persona potrebbe essere portata a utilizzare.

A questo punto è chiaro che più si conosce il soggetto da attaccare più è facile inserire e togliere termini, per esempio il termine precipitevolissimevolmente difficilmente suonerà familiare a un bambino di undici anni, come al contrario i nomi dei suoi pokémon preferiti potrebbero essere molto probabilmente parte della sua password.

OSINT, un’arma dalla quale difenderci

Facciamo una piccola parentesi su l’OSINT, ovvero la raccolta di informazioni da fonti pubbliche, quali social network, siti di associazioni e articoli vari. OSINT è una vera e propria arma, categorizzata dalle varie scuole di sicurezza informatica sotto l’ala del Social Engineering. Con questo gruppo di tattiche l’attaccante può ottenere informazioni molto personali leggendo semplicemente quello che scriviamo o che viene scritto su di noi per poi riutilizzarle come nel caso in esame: conoscere la squadra di calcio preferita o la data del compleanno della fidanzata può diventare un’informazione molto utile per restringere il cerchio intorno alla password obiettivo.

Detto ciò, l’hacker dovrebbe aver raggiunto una lista estremamente eterogenea di qualche centinaio di migliaia di termini ed essere dunque pronto a provare ogni singola parola. Ma un passaggio è ancora mancante, ovvero la combinazione di tutte queste parole in modo da generare una lista di password verosimili.

Può sembrare una cosa da poco ma non lo è. Innanzitutto dovrà definire una lunghezza minima e una massima, poi dove usare le maiuscole, dove mettere il numero e dove il simbolo, in modo da rispettare quelli che oggigiorno sono (o dovrebbero essere) gli standard comuni di qualsiasi sito con una pagina di registrazione. Questo processo non è ovviamente fatto a mano ma elaborato da semplici programmi che si propongono di permutare e trasformare il nostro dizionario iniziale in una lista di qualche milione di possibili password.

Non ci dilunghiamo su come l’attaccante può ripetere i vari tentativi e come i vari siti possono impedire e/o rallentare queste tecniche, ci basti sapere che nel giro di qualche settimana (tutto dipende ovviamente da tipo di rete, tipo di login, etc.) potrebbe trovare la nostra password debole. Dobbiamo inoltre tenere conto, che in suo aiuto potrebbe intervenire un altro strumento che può ridurre drasticamente i tempi, ovvero i data breach presenti nel dark web.

Data breach sul dark web

In questo caso per data breach sul dark web intendiamo l’insieme dei database (archivi digitali) contenenti tutte le credenziali cifrate (rese difficili da interpretare). I data breach sono ottenuti da vari attacchi a molteplici siti web e che nel tempo creano una valida criticità per quegli utenti che raramente cambiano password o che la riusano spesso o, peggio, che non la cambiano mai e la usano ovunque. Queste pessime pratiche permettono dunque agli hacker, con una semplice ricerca, di ottenere la password cifrata tra le mani e dunque ridurre al minimo i tempi di ricerca.

Come sapere se le nostre credenziali sono già presenti nel dark web?

La risposta è semplice, un veloce controllo lo possiamo fare fin da subito con pochi click, cercando SOLAMENTE CON L’EMAIL sul sito haveibeenpwned.com, il quale ci mostrerà dove è avvenuta la fuga di dati e dunque, scavando nella nostra memoria risalire quale password corrisponde a quell’account.

Al netto di tutto il procedimento, come può una persona capire se una password è efficace al suo scopo di proteggere l’ingresso di un servizio?

Come capire se una password è efficace?

La lunghezza è il primo e fondamentale parametro, per cui la password X3f4#5 sarà meno robusta di 1cavatappi,2Papere, con l’evidenza di una facilità di memorizzazione drasticamente più sbilanciata per la seconda. Il secondo parametro è senza dubbio la mancanza di riferimenti alla propria vita, privata o professionale, come per esempio il nome dei figli o della via di casa.

Come creare una password efficace?

Piccolo elenco per creare password rispettando i piccoli principi sopra citati:

• numero minimo di caratteri;
• almeno un numero;
• alternate maiuscole e minuscole;
• almeno un simbolo.

Consigli aggiuntivi:

• usare parole con significato al posto di geroglifici per la memorizzazione facile;
• nessun riferimento a noi e a chi ci sta intorno;
• una password diversa per ciascun account;
• cambiare la password impedisce che le fughe di dati ci colgano impreparati.

In futuro articolo spiegheremo come gestire dieci, cento, mille password e non impazzire usandole contemporaneamente e mantenendole cambiate periodicamente.

A presto!