Come creare una password sicura
È fondamentale che tu sia l’unico a conoscere o a indovinare le tue password. Ma cosa rende una buona password? Per capirlo, avrai bisogno di sapere una o due cose su come Internet non riesce a decifrare le password.
Attacchi di forza bruta
Nella sicurezza digitale, indovinare ripetutamente una password è chiamato attacco di forza bruta. L’idea è semplice. Prova ogni combinazione di lettere e numeri fino a trovare quella giusta. Questo tipo di compito è noioso, ripetitivo, soggetto a errori e richiede molto tempo per un essere umano. Ma per un computer, la maggior parte di questi problemi diventa banale.
Quando si tratta di password alfanumeriche composte solo da lettere minuscole e numeri (36 caratteri possibili), una password di sei caratteri (36⁶ possibili combinazioni di caratteri) potrebbe essere risolta in 217.679 secondi (2,5 giorni) nel caso del Pentium, o circa 2 secondi nel caso del supercomputer. Questi numeri rappresentano il tempo massimo necessario per la forza bruta delle password. Questo è inaccettabile dal punto di vista della sicurezza.
Attacchi di dizionario
Questi calcoli presuppongono il tempo più lungo possibile, con il computer che indovina correttamente solo l’ultima possibile permutazione di caratteri. Il tempo medio necessario per indovinare una password sarebbe circa la metà di quanto indicato sopra. Peggio ancora, le persone sono terribili nello scegliere le password, ma non è (soprattutto) colpa nostra.
Il problema è che le migliori password per contrastare gli attacchi di forza bruta sono una distribuzione casuale di lettere, numeri e simboli. Le password più facili da ricordare sono composte da numeri e parole che hanno un significato personale. Questo ci apre a una nuova vulnerabilità: gli attacchi del dizionario.
Questo tipo di attacco ha successo perché la maggior parte delle persone usa parole comuni nelle proprie password. Invece di testare ogni combinazione di ogni carattere possibile, un utente malintenzionato può testare le parole note per essere utilizzate in molte password.
Inoltre, data la pletora di violazioni dei dati nell’ultimo decennio, gli aggressori possono trovare elenchi di centinaia di milioni di password da testare, ben lontani dai 44 septillion possibilità nel nostro esempio precedente.
Violazione della password
Un’altra via di attacco per gli hacker si basa sul modo in cui i servizi online memorizzano le password. Le aziende non salvano un elenco di password in testo semplice. Ciò renderebbe vulnerabili i dati degli utenti. Invece, usano un tipo speciale di crittografia per memorizzare le password. L’idea è di creare una funzione per convertire facilmente una password in un nuovo valore tale che sia difficile determinare il valore originale in base al valore convertito.
Da quando le aziende hanno iniziato a utilizzare questi algoritmi, gli hacker hanno lavorato duramente per trovare modi per decifrarli. Alcuni, come SHA-1, sono stati così compromessi che una semplice ricerca su Google del valore convertito rivela la password originale. Altri possono essere violati in poche ore con la forza bruta noleggiando tempo su AWS
La soluzione
Come possiamo essere sicuri che nessuno possa indovinare le nostre password? Una buona regola empirica è esaminare i moderni requisiti per le password degli istituti finanziari. La tua banca, ad esempio, potrebbe richiedere password composte da almeno otto caratteri e composte da una lettera maiuscola, una lettera minuscola, un numero e un simbolo. Quindi l’esempio precedente di @ndroidPo1ice controlla tutte le caselle.
In generale, è una buona idea avere password più lunghe e complesse. Ma questo introduce un nuovo problema. La maggior parte di noi ha dozzine di account. Non riusciamo a ricordare 50 password per 50 servizi. La soluzione migliore è una sorta di compromesso.
Quando hai password diverse per diversi siti Web, concentrati su quelle importanti che controllano l’accesso ai tuoi soldi (Amazon, PayPal, Venmo e conti bancari) e usa una password più semplice per i tuoi account meno vitali (Spotify, TikTok, Discord). In questo modo, se la tua password viene rivelata in una violazione dei dati, riduce al minimo il rischio per i tuoi account più vitali.
Per quanto riguarda la creazione di una password resistente agli attacchi di forza bruta, agli attacchi del dizionario e al cracking, concentrati sulla lunghezza piuttosto che sulla complessità.
