Un mondo di password. Email, social network, account streaming, e-commerce e il passcode della banca o il PIN del telefono. Se ognuno di noi possiede molteplici account, significa che per ogni account o dispositivo c’è una password da creare, inserire e ricordare ogni volta. Considerato che in media ogni utente Internet passa circa 7 ore al giorno sulla rete per vari motivi, viene normale pensare che in media ogni utente abbia dozzine di account diversi a disposizione.
Tra l’altro, molti di questi account vengono creati e gestiti via telefono: solo in Italia abbiamo 80 milioni di smartphone e circa il 92% delle persone nel mondo accede alla rete proprio da un dispositivo mobile. Tutti i dati presenti nei nostri account, dove sono presenti anche informazioni sensibili, sono ovviamente il target numero uno di malintenzionati e hacker: con i dati sottratti possono avvenire furti di identità, estorsioni e furto di account o denaro da conti e carte.
La nostra unica e prima linea di difesa sono proprio le password che scegliamo per i nostri account, eppure sono molti gli utenti a sottovalutare l’importanza di avere una password sicura e ancora meno persone sanno esattamente come proteggere le proprie password.
Iniziamo dalle basi: servono sempre password sicure
Alzi la mano chi non ha mai usato una password facile da ricordare e troppo comune. Quante volte abbiamo scritto cose come “123456”, “qwerty”, “password”? Oppure nomi delle nostre squadre preferite, nomi di nostri famigliari oppure dei nostri animali? Secondo l’infografica sulle password più usate di ExpressVPN, queste sopra elencate sono proprio le password più comuni qui in Italia.
Di certo non un segnale rassicurante, visto che tutte queste password comuni possono essere facilmente individuate da eventuali malintenzionati. Infatti, in questi casi sono molto efficienti gli attacchi a dizionario, ovvero quando durante un attacco informatico si usa una raccolta di combinazioni per forzare l’accesso all’interno di un account.
Gli hacker hanno dei “dizionari” che raccolgono tutte le password e combinazioni più comuni, capaci in pochi minuti (o addirittura secondi) di provare tutte queste combinazioni più usate per accedere. In altri casi invece, usare password legate ad aspetti della nostra vita non è sempre la scelta migliore.
Il nome di un figlio o di un parente, così come il nome del proprio animale domestico oppure la propria data di nascita: tutte queste informazioni sono facilmente reperibile su Internet e sui social. Gli hacker possono scandagliare il web e i social, usando anche dei bot automatici, per raccogliere tutte queste info e usarle poi contro di voi per indovinare la password ei vostri account.
Usate quindi password sicure: lunghezza minima 12 caratteri, inserite sempre delle lettera maiuscole, dei numeri e almeno un carattere speciale. Altrimenti potete provare la tecnica della passphrase: scegliete una domanda comune e fornite una vostra risposta personale. Per esempio, alla domanda “Qual è la mia pizza preferita?” potreste rispondere “La mia pizza preferita è la margherita”.
Partendo dalla risposta, basta compiere i seguenti passaggi:
- Prendete le iniziali di ogni parola della risposta: “lmppèlm”
- Ora mettete in maiuscolo la prima e ultima lettera: “LmppèlM”
- Poi aggiungete un carattere speciale: “Lmppèlm-“
- E infine almeno tre numeri (o quanti ne servano per arrivare a 12 caratteri di lunghezza): “Lmppèlm-6354”
Ed ecco così che a partire da una domanda comune, la cui risposta ci ricordiamo sempre visto che ci riguarda personalmente, possiamo arrivare a creare una password a prova di hacker.
Mai usare la stessa password più di una volta
Avere password sicure però è solo l’inizio: ciò che poi è importante è riuscire a proteggere queste password dai malintenzionati. Innanzitutto, come archiviate queste password? Avere tanti account equivale ad avere tante password: come facciamo a ricordarcele tutte? Ecco che qui viene commesso l’errore più comune: usare la stessa password per più account.
Usare più volte una password ci espone a grossi pericoli: quando un malintenzionato riesce a scoprire la password di un nostro account, proverà sicuramente quella password per accedere ad altri account associati a noi. Spesso gli basta accedere a un nostro account per sapere quale indirizzo email abbiamo usato per creare tale account.
E con questa informazione, già può provare la password appena scoperta per accedere alla nostra email. Oltre a ciò, può comunque cercare in rete se abbiamo altri account associati a quell’indirizzo email. O comunque andare a tentativi: visitare i servizi, e-commerce e social più famosi per provare la combinazione che ora ha in mano (la password già scoperta di un account e poi l’indirizzo email che avevamo usato per quell’account).
Avere più password diverse fra loro è fondamentale, anche per difendersi da eventuali data breach (ovvero quando un servizio che usiamo subisce un attacco informatico dove vengono sottratti dati, fra cui anche quelli legati al nostro account). Ma come ricordiamo tutte queste password diverse? In commercio esistono molti password manager affidabili oppure ci si può sempre affidare a carta e penna (preferendo un’agenda, da tenere al sicuro, rispetto a dei post-it volanti).
Come difenderci da chi prova a sottrarci le nostre password
Sfortunatamente i malintenzionati hanno molte frecce nel loro arco, quando si tratta di provare a rubare le nostre password. Il malware al giorno d’oggi è ovunque: per esempio, viene stimato che esistano oltre un miliardo di programmi malware nel mondo. E la maggior parte di questi malware vengono passati proprio via email, dove la tecnica del phishing (che avviene anche via SMS o messaggio in chat) è quella più usata per sottrarre dati sensibili.
Il copione è sempre lo stesso: vi arriva un messaggio o email importante, con una comunicazione urgente e che vi spinge a cliccare su un link oppure a scaricare un allegato. Una volta fatto ciò però, vi ritroverete con un malware installato sul vostro PC oppure avrete fatto accesso a un sito compromesso, dove inserendo le vostre credenziali, le avrete in realtà consegnate ai malfattori.
Non fidatevi mai di messaggi da contatti sconosciuti e non cliccate mai su link che ricevete. In caso di dubbi, contattate direttamente il servizio clienti della società che vi ha inviato il messaggio potenzialmente sospetto, per chiedere se si tratti di una comunicazione proveniente da loro. E in questi casi prevenire è sempre meglio che curare: dove potete, scegliete di attivare l’autenticazione a due fattori per aggiungere un livello di sicurezza in più ai vostri account.
Infatti, tramite l’autenticazione a due fattori, oltre alla password (che rappresenta un fattore) serve un altro fattore, che molto spesso è il proprio smartphone. Ciò significa che per accedere a un account dovete non solo inserire la vostra password, ma anche inserire un codice temporaneo che vi viene inviato via SMS sul vostro smartphone. In altri casi, esistono delle app di autenticazione a due fattori dove potete associare i vostri account (e che generano codici in automatico).
Anche in caso di furto di password, l’autenticazione a due fattori protegge i nostri account: i malintenzionati dovrebbero anche rubarci l’altro fattore, che spesso è il nostro smartphone (o averne in qualche modo accesso). Spesso in casi particolari si riesce anche a impostare la propria impronta digitale come secondo fattore, rendendo tutto il processo più sicuro. Indipendentemente dal secondo fattore che scegliete, cercate sempre di inserire l’autenticazione a due fattori dove possibile.