Sicurezza

La tua password è molto più debole di quanto tu creda

di |

Il modo in cui scegliamo le nostre password è scadente, non sono sicure e soprattutto sono troppo prevedibili per hacker sempre più incalliti.

Il modo in cui scegliamo le nostre password è scadente, non sono sicure e soprattutto sono troppo prevedibili per hacker sempre più incalliti che diversamente da noi dispongono di lunghissime liste di password e quindi studiano i nostri meccanismi mentali. Un’analisi impietosa della nostra sciatteria digitale arriva sul Financial Times della trascuratezza con cui scegliamo di proteggere i nostri account segreti.

Ad esempio, usare il nome del nostro cagnolino, aggiungendo magari un paio di cifre per ammantarlo di mistero (Fido81, Poppy75), non è la scelta più indicata per la password. Ne sanno qualcosa i 500 milioni di utenti che hanno subito il furto del loro account Yahoo!, moltissimi dei quali hanno certamente usato il nome del cane e del gatto per proteggere la loro privacy.

Una scelta leggera, inefficace e appunto troppo prevedibile perché gli hacker ormai ci conoscono meglio di quanto noi conosciamo noi stessi.

Altre password tipiche sono legate a nomi di animali (scimmia, gatto, pesciolino), sequenze di lettere (zxcdsern), la squadra del cuore (Roma) o nomi comuni (laqualunque). La debolezza delle nostre password si è vista chiaramente in occasione di diversi attacchi hacker, da quello al sito per adulteri Ashley Madison a quello ai danni di Last.fm, che hanno causato la violazione di 30-40 milioni di account ciascuno. Poca cosa rispetto ad altri attacchi, come quello a LinkedIn (164 milioni di account violati) e MySpace (360 milioni).

Il valore delle password per gli hacker è duplice. In primo luogo, secondo stime, circa il 60% degli utenti usa le stesse password per diversi account, quindi gli hacker possono tentare di violare siti più sensibili (ad esempio quelli bancari) oppure quelli di lavoro. Il che, combinato con le informazioni su domicilio e data di nascita ottenuti dal primo attacco come nel caso di Yahoo o di una eventuale violazione dell’account di Facebook può risultare in un credito ottenuto illegalmente a nome di qualcun altro.

In secondo luogo, le password trafugate possono essere inserite in particolari liste utilizzate per crackare altre password.

Un’altra cosa da evitare è quella di usare la stessa password di base, modificandola un pochino a seconda dei diversi account magari con uno o due caratteri particolari alla fine ($,£,& ecc). Secondo gli esperti, non funziona.

Ma come difendersi? Evitare nomi (comuni e propri) è il primo accorgimento da adottare, poi è necessario inserire caratteri particolari e maiuscole in mezzo alla password per renderla meno vulnerabile.

Una password sicura, non ha apparentemente senso ed è un mix di lettere e simboli, ad esempio (mNB%$i()*Gj8.

Anche se per alcuni esperti le password più complesse non sono molto più sicure del classico 12345.