Sicurezza nella generazione delle password

Le tecniche per scoprire le nostre password sono più d’una, talvolta veramente banali:

• Ingegneria sociale: ad esempio phishing, Password Sniffing. In pratica siamo noi che ci lasciamo ingannare dalle tecniche di social engineering e diamo le password a chi ce le chiede attraverso per esempio messaggi, email, siti fake (falsi) che dissimulano un sito noto.
• Indovinando le password: utilizzando informazioni personali come nome, data di nascita o nomi di animali domestici. A scoprire la password non sarà un hacker lontano, ma magari l’amico o il vicino di casa…
• Attacco “brute force”: la prova automatica di un gran numero di password fino a quando viene trovata quella giusta. Esistono programmi appositi per fare questo, si tratta di una tecnica onerosa, che richiede tempo e potenza di calcolo, ma che può raggiungere il risultato.
• Intercettazione di una password mentre viene trasmessa su una rete. È frequente la pessima abitudine di comunicare password via email: ci sono addirittura siti che, non appena ci registriamo, ci inviano un cortese messaggio di benvenuto contenente username e password esposti “in chiaro”. Peccato che l’email non sia uno strumento sicuro…
• “Shoulder surfing”: osservando qualcuno alle spalle (“shoulder”) mentre digita la password.
• Installando un keylogger per intercettare le password quando vengono digitate in un dispositivo. Ricordiamo che i keylogger sono programmi (trojan) che registrano tutto ciò che viene digitato sulla tastiera, trasmettono poi questi dati all’hacker che ha installato il keylogger. Esistono anche keylogger basati su hardware che richiedono accesso diretto sul computer della vittima.
• Password memorizzate in modo non sicuro, come scritte a mano su un foglietto, o salvate su un file di word (ovviamente denominato “Password”!).
• Compromettendo un database contenente un gran numero di password utente, quindi utilizzando queste informazioni per attaccare altri sistemi dove gli utenti hanno riutilizzato le stesse password (“credential stuffing”). È per esempio quello che è successo con il data breach di LinkedIn (2012) attraverso il quale furono violati gli account LinkedIn, Twitter e Pinterest di Mark Zuckerberg (che usava la stessa password in tutti!).

Come si scrive una password forte

Una password è caratterizzata da:

• Lunghezza: consigliabile usare almeno 12 caratteri

1. Tipi di caratteri usati:
   • Numeri (0-9) = 10 tipi
   • Lettere = 52 tipi (26 minuscole + 26 maiuscole)
   • Caratteri speciali da tastiera (cioè quelli direttamente presenti sulle tastiere, per es.: # &%?^ ecc. = 33 tipi

Quindi in totale abbiamo a disposizione 95 tipi di caratteri: consigliabile usarli tutti, perché aumentando i tipi dei caratteri, il numero delle combinazioni cresce in modo esponenziale, come vediamo anche in questa tabella (ove alla colonna “Tempo” abbiamo calcolato quanto impiegherebbe un attacco “brute force” realizzato con un computer in grado di provare un miliardo di chiavi al secondo):