Pillole di sicurezza informatica

Pillole di sicurezza informatica

Ed eccoci al terzo appuntamento con le nostre Pillole.

Abbiamo parlato del Phishing che è pericoloso, ma le nostre password sono sicure o facilitano il lavoro degli hacker nel rubarci dati, soldi, ecc.?

In questa pillola affrontiamo il tema delle password e di come difenderci da un tipo di attacco conosciuto come “attacco di forza bruta” (brute force attack).

Password: le usiamo correttamente?

(…non c’è una domanda di riserva?)

Le chiavi del nostro “mondo digitale”

Il tema della gestione delle password sui nostri dispositivi (computer, tablet, smartphone, …) oppure sui gestionali o siti web personali e aziendali, è sempre stato di attualità, ma oggi lo deve essere più di prima.

La pigrizia ci induce spesso ad usare password facili da memorizzare e, nel contempo, le ripetiamo in molteplici situazioni (se non sempre) per accedere a servizi diversi.

Riflettiamo su quanti accessi abbiamo in rete e sui dispositivi: un utente medio utilizza dai 50 ai 300 login diversi (banche, social, e-commerce, assicurazioni, bollette, assistenza, servizi vari, e-learning, caselle di posta, PEC, SPID, cassetto fiscale, INPS, fascicolo sanitario, referti, …).

Riflettiamo anche su cosa abbiamo “salvato” nel nostro universo digitale e a cosa accediamo tramite un nome utente ed una password.

Non giustifichiamoci dicendo che i dati che abbiamo protetto con password non sono così importanti e che se li perdiamo non succede niente. O che a noi certe cose non accadono… il punto non è “se” ci accadrà, ma “quando” ci accadrà.

Fate questo breve esercizio (anche solo a livello mentale):

1. elencate i dispositivi di cui avete una password o un pin (computer personali, aziendali, smartphone, tablet, console di videogiochi);

2. elencate tutti i siti e le app a cui avete accesso con una password;

3. segnate quelli che hanno la stessa password o password simili (ad es. dove avete cambiato una cifra o una lettera);

4. adesso provate ad immaginare cosa potrebbe accadere se le vostre password finissero in mano a malintenzionati capaci di approfittare dei vostri accessi ed utilizzare i dati per i loro scopi.

Non ci vuole molto a capire che la nostra vita subirebbe un grosso colpo, economicamente e socialmente, se qualcuno riuscisse ad accedere ai nostri dati.

La domanda che ci dovremmo porre è la seguente: lasceremmo le chiavi di casa sulla toppa o sotto lo zerbino? Lasceremmo il codice dell’allarme di casa scritto sotto il tastierino? La risposta è facile: sicuramente NO! Stesso atteggiamento DEVE essere intrapreso per le password che sono le chiavi di accesso al nostro mondo digitale!

Quanto sono sicure le mie password?

Come accennato prima, la pigrizia ci induce ad usare password facili da memorizzare e ad usarle più volte per accedere a servizi diversi.

Digitate su Google o altro motore di ricerca la frase “le password più utilizzate dagli italiani”; ecco un estratto:

1. admin

2.123456

3. password

4. Password

5. 12345678

6. 23456789

7. password99

8. qwerty

9. UNKNOWN

10. 12345 

Servono commenti? È così difficile trovare un po’ di fantasia?

Inoltre, se noi utilizziamo la stessa password in più realtà, nel momento in cui un hacker viola un sito (e succede continuamente) ha le chiavi di tutte le nostre stanze!

Ormai ci sono strumenti che riescono a decodificare una password in tempi brevissimi. Sono programmi che vengono utilizzati per effettuare i cosiddetti “attacchi di forza bruta”: il programma prova tutte le possibili combinazioni di lettere, cifre e caratteri speciali fino a quando non trova quella giusta. I primi tentativi che vengono fatti da questi programmi sono proprio le password più banali e comuni. Sono strumenti di cui dispone qualunque hacker.

Per difendersi da questo tipo di attacchi l’unica difesa è la complessità della password (e l’utilizzo di altri sistemi di autenticazione tipo la 2FA – Autenticazione a due fattori – di cui parleremo nella prossima pillola).

Alcune cose da evitare assolutamente

A parte le banalità viste sopra, ci sono alcune semplici regole per costruire e mantenere delle password più sicure:

- non usare password legate al proprio nome, data di nascita, nome del pet di casa

- non usare password legate alle storie che pubblichiamo sui social

- non comunicare mai le password via mail, magari abbinate al nome utente (la mail non è uno strumento sicuro); casomai inviate il nome utente via mail e la password via Whatsapp, SMS o telefono;

- MAI scrivere su un foglietto o un post-it in bella vista o riposto in un luogo non protetto; (i collaboratori di una ditta a cui abbiamo fatto una consulenza, avevano le password di accesso ai gestionali su dei post-it attaccati ai monitor; dopo avergli evidenziato i rischi, al controllo successivo i post-it erano spariti! Peccato che fossero attaccati sui cassetti della scrivania, senza neppure una chiave…)

- non salvare un file, magari in chiaro sul pc con il nome “password” (abbiamo visto anche questo!) o similari

Come costruire una password “forte”

Le cosiddette “password forti” sono difficili da indovinare per un eventuale hacker, ma come si costruiscono?

Oggi una password dovrebbe essere di almeno 12 caratteri compresi i caratteri speciali “# %&/?!”

Perché almeno 12 caratteri? Per una questione di tempo! In quanto il numero delle combinazioni cresce in modo esponenziale aumentando il numero dei caratteri. Con 12 caratteri, si hanno poco più di tre sestilioni di combinazioni possibili (è un tre con 21 zeri). Per decifrare una password di 12 caratteri ci vorrebbero diverse centinaia di anni con la tecnologia odierna, anche se questa sta velocemente migliorando e il tempo necessario per decifrare una password di 12 caratteri diminuisce di giorno in giorno.

Se la password è composta da 7 lettere, un hacker impiegherà circa 10 minuti per decifrarla. Tuttavia, se si utilizza una password comune come il compleanno, allora ci vorrà meno di un millisecondo per essere decifrata.

A parte la lunghezza, come faccio a sapere che la password che sto creando è sufficientemente complessa? Inserendo le frasi “password checker” o “robustezza password” in un motore di ricerca si troveranno molti siti che controllano la forza di una password. Sicuramente il più conosciuto è https://www.security.org/how-secure-is-my-password/, ma ce ne sono molti altri anche in italiano. Inserendo la password verrà calcolato il tempo necessario alla sua decifratura e se quella password è già stata individuata in attacchi precedenti.

Ecco un vademecum per la creazione di una buona password, degna di tale nome:

- non usare mai la stessa password su account diversi

- almeno 12 caratteri (abbiamo visto la differenza)

- utilizzare caratteri, numeri e caratteri speciali

- evitare parole di senso compiuto

- evitare parole scritte al contrario

- evitare riferimenti familiari facilmente recuperabili dalla rete

- evitare di sostituire le lettere comuni con @ 1 ! 3 es fabio! = F@b10!

- cambiare spesso la password, almeno ogni tre mesi, ma cambiare non vuol dire aggiungerci un numero!

Ci rendiamo conto che ricordarsi tante password complesse non è semplice, però ci sono degli strumenti che ci vengono in aiuto: sono i cosiddetti “password manager” di cui parleremo nel dettaglio in una delle prossime pillole.

Volete scoprire se uno dei vostri account è stato violato?

Utilizzate il sito https://haveibeenpwned.com/ (sono stato violato?); qui c’è un archivio di oltre 5 miliardi di account violati.

Basta inserire il proprio account es: pippo@pippo.it per sapere se il nostro account è stato oggetto di qualche “incidente” in giro per il mondo! Se il vostro account fosse stato violato, apparirà “Oh no – pwned!” ed il sito mostrerà dove e quando il vostro account è stato coinvolto (es. un attacco informatico verso un sito dove vi eravate registrati). In questo caso anche se sono passati degli anni è bene cambiare la password di quel sito, sperando di non averla usata in ogni dove…

Alcuni link utili

https://www.cybersecurity360.it/nuove-minacce/brute-force-cosa-sono-gli-attacchi-a-forza-bruta-come-farli-e-prevenirli/

https://www.troyhunt.com/only-secure-password-is-one-you-cant/ (in inglese ma può facilmente essere tradotto con i traduttori online)

https://www.zerounoweb.it/techtarget/searchsecurity/generatore-password-sicura/

https://haveibeenpwned.com/

https://www.security.org/how-secure-is-my-password/

Nelle prossime pillole vedremo altri sistemi di autenticazione che stanno gradualmente sostituendo il sistema “nome utente – password” (Autenticazione a più fattori, PassPhrase, …) e gli strumenti per la gestione delle password.