Approfondimenti smartphone

Come creare una password sicura

0

È fondamentale che tu sia l’unico a conoscere o a indovinare le tue password. Ma cosa rende una buona password? Per capirlo, avrai bisogno di sapere una o due cose su come Internet non riesce a decifrare le password.

Attacchi di forza bruta

Nella sicurezza digitale, indovinare ripetutamente una password è chiamato attacco di forza bruta. L’idea è semplice. Prova ogni combinazione di lettere e numeri fino a trovare quella giusta. Questo tipo di compito sarebbe noioso, ripetitivo, soggetto a errori e dispendioso in termini di tempo per un essere umano. Per un computer, la maggior parte di questi problemi diventa banale.

Secondo NordPass , i computer possono indovinare tra 10.000 (su un Pentium 100MHz di vecchia scuola) e un miliardo di password al secondo (su un supercomputer). Indovinare un PIN di quattro cifre (10.000 PIN possibili) richiederebbe un secondo nel caso peggiore in cui il computer più lento non trovasse il PIN corretto fino all’ultimo controllo.

Quando si tratta di password alfanumeriche composte solo da lettere minuscole e numeri (36 caratteri possibili), una password di sei caratteri (36⁶ possibili combinazioni di caratteri) potrebbe essere risolta in 217.679 secondi (2,5 giorni) nel caso del Pentium, o circa 2 secondi nel caso del supercomputer. Questi numeri rappresentano il tempo massimo necessario per la forza bruta delle password. Questo è inaccettabile dal punto di vista della sicurezza.

Tuttavia, una password complessa come @ndroidPo1ice è più difficile da indovinare. Ha otto caratteri, maiuscoli, minuscoli, numeri e simboli, quindi ci sono 94 possibili caratteri disponibili, dando 94⁸ (oltre sei quadrilioni) combinazioni di password. Questo livello di complessità è sufficiente per contrastare il nostro computer a bassa potenza, che impiegherebbe oltre 600 miliardi di secondi (oltre 19.000 anni) per forzare tutte le combinazioni. Offre una difesa ragionevole contro il nostro computer ad alta potenza, che richiederebbe oltre sei milioni di secondi (70 giorni) per indovinare.

Attacchi da dizionario

Questi calcoli presuppongono il tempo più lungo possibile, con il computer che indovina correttamente solo l’ultima possibile permutazione di caratteri. Il tempo medio necessario per indovinare una password sarebbe circa la metà di quanto indicato sopra. Peggio ancora, le persone sono terribili nello scegliere le password, ma non è (soprattutto) colpa nostra. Il problema è che le migliori password per contrastare gli attacchi di forza bruta sono una distribuzione casuale di lettere, numeri e simboli. Le password più facili da ricordare sono composte da numeri e parole che hanno un significato personale. Questo ci apre a una nuova vulnerabilità: gli attacchi del dizionario.

Questo tipo di attacco ha successo perché molte persone usano parole comuni nelle loro password. Invece di testare ogni combinazione di ogni carattere possibile, un utente malintenzionato può testare le parole note per essere utilizzate in molte password. Inoltre, data la pletora di violazioni dei dati nell’ultimo decennio, gli aggressori possono trovare elenchi di centinaia di milioni di password da testare, ben lontani dai sei quadrilioni di possibilità del nostro esempio precedente.

Violazione della password

Un’altra via di attacco per gli hacker si basa sul modo in cui i servizi online memorizzano le password. Le aziende non salvano un elenco di password in testo semplice. Ciò renderebbe vulnerabili i dati degli utenti. Invece, usano un tipo speciale di crittografia per memorizzare le password. L’idea è di creare una funzione per convertire facilmente una password in un nuovo valore tale che sia difficile determinare il valore originale in base al valore convertito.

Da quando le aziende hanno iniziato a utilizzare questi algoritmi, gli hacker hanno lavorato duramente per trovare modi per decifrarli. Alcuni, come SHA-1, sono stati così compromessi che una semplice ricerca su Google del valore convertito rivela la password originale. Altri possono essere violati in poche ore con la forza bruta noleggiando tempo su AWS .

Con la proliferazione di questi tipi di attacchi, un malintenzionato ha bisogno solo dell’elenco delle password crittografate e di un po’ di tempo per ottenere l’accesso ai tuoi account.

La soluzione

Come possiamo essere sicuri che nessuno possa indovinare le nostre password? Una buona regola empirica è esaminare i moderni requisiti per le password degli istituti finanziari. La tua banca, ad esempio, potrebbe richiedere password composte da almeno otto caratteri e composte da una lettera maiuscola, una lettera minuscola, un numero e un simbolo. Quindi l’esempio precedente di @ndroidPo1ice controlla tutte le caselle.

Potrebbero interessarti anche questi articoli!

Come creare un gruppo Famiglia Google

Sempre connesso con il tuo smartwatch grazie a One Number di…

La soluzione a questi problemi è avere password più lunghe e complesse. Ma questo introduce un nuovo problema. La maggior parte di noi ha dozzine di account. Non riusciamo a ricordare 50 password per 50 servizi. La soluzione migliore è una sorta di compromesso. Quando si tratta di avere password diverse per diversi siti Web, concentrati su quelle importanti che controllano l’accesso ai tuoi soldi (Amazon, PayPal, Venmo e conti bancari) e usa una password più semplice per i tuoi account meno vitali (Spotify, TikTok, Discord) . In questo modo, se la tua password viene rivelata in una violazione dei dati, riduce al minimo il rischio per i tuoi account più vitali.

Non è necessario ricordare tutte le password

Ora che hai una password fantastica resistente alle comuni tecniche di hacking, hai bisogno di un modo per ricordarla insieme alle dozzine di altre password che proteggono i tuoi account online. Un modo è scriverlo. Alcune persone hanno un taccuino solo per le password e non è un brutto modo per salvare le password perché un taccuino non può essere violato. I due svantaggi di questo metodo sono che hai bisogno del libro con te perché sia ​​​​utile e, se lo perdi, hai perso tutte le tue password e potenzialmente le hai date a qualcun altro se riescono a capire quali account sono i tuoi.

Se stai cercando una soluzione digitale per la gestione delle password, hai due versioni di base tra cui scegliere: cloud e locale. Un servizio cloud salva le tue password sui suoi server e le password sono accessibili ovunque da qualsiasi dispositivo. Con un servizio come questo, devi solo ricordare una password e il gestore di password online si prende cura di tutto il resto. Lo svantaggio è che devi fare affidamento su una terza parte per mantenere le tue password al sicuro. Se vengono hackerati , vieni hackerato.

Potresti anche andare con una soluzione locale. Se non ti affidi a terzi per la sicurezza della tua password, scarica il software che gestisce le tue credenziali dal desktop o dal telefono. È molto simile alla versione digitale della soluzione carta e penna. Solo le tue password vengono archiviate in un file crittografato sul tuo computer invece che in un taccuino che tieni sulla scrivania. Lo svantaggio dei gestori di password locali è che sono utili solo per il dispositivo che stai utilizzando.

Uno dei vantaggi dell’utilizzo dei gestori di password è che spesso generano una password sicura per te. Capire quale fa per te dipende dalle tue esigenze e preferenze personali, ma alcuni sono migliori di altri .

Avatar photo
Fabio Zanconato 1565 posts 1 comments

CEO di Webtrek.it. Sono un programmatore, blogger e internet marketer.
Odio i viaggi organizzati, amo l'avventura, le escursioni, le moto.

Potrebbe piacerti anche
Approfondimenti smartphone

Stampanti: principali pro e contro dei modelli inkjet e laser

Approfondimenti smartphone

Proteste rabbiose scoppiano nella fabbrica di iPhone in Cina