Il 5 maggio si celebra in tutto il mondo il "World Password Day", una giornata mondiale creata da Intel nel 2013 con lo scopo di contribuire alla consapevolezza della sicurezza digitale.

Un tema quanto mai di attualità considerato tutti gli attacchi hacker a cui sono esposti aziende e utenti in una società ultraconnessa, dove si hanno utenze personali - e quindi combinazioni di username e password - per la maggior parte dei servizi digitali: dalla posta elettronica agli acquisti online, dai profili social agli account per la fruizione di musica e serie tv.

Il Centro Nazionale per la Cybersecurity del Regno Unito ha rivelato che 23 milioni di persone in tutto il mondo hanno utilizzato come password la sequenza "123456". Mentre secondo un sondaggio condotto nel Regno Unito dalla società Uswitch un utente su quattro scrive ancora la propria parola chiave su un foglio di carta. L'indagine evidenzia inoltre che il 30% delle persone utilizza il proprio anno di nascita e il 39% il nome di un animale domestico come parte della propria password. Tutte informazioni che gli hacker usano in prima battuta per entrare nei profili personali degli utenti.

Diverse ricerche hanno evidenziato come la violazione di un account spesso cominci dalla violazione di login e password. Per un cybercriminale è semplice ricostruire il login costituito in genere dal nome o dall’indirizzo email di chi la usa, viceversa la password spesso è costituita da semplici nomi e parole legati ai nostri interessi, come il calciatore preferito o il nome dei figli e degli animali domestici, informazioni facilmente individuabili con una ricognizione dei social o facilmente aggirabili con software per la generazione di password.

In aggiunta molti tendono a usare la stessa email di lavoro e la stessa password per accedere a servizi diversi, da quello per fare acquisti online a quelli social come Facebook, Instagram e Twitter e questo rende più facile il compito degli attaccanti.

Quando qualcuno viola i nostri account possiamo incorrere in diversi problemi, dal furto di identità, che si verifica quando qualcuno che finge di essere noi per ingannare gli altri, fino allo spionaggio dei documenti presenti nella nostra posta elettronica. Le tecniche sono molteplici e i delinquenti le conoscono tutte.

La password va protetta, ma come?

“La password è uno strumento di accesso a risorse riservate che durante gli anni ha subito numerosi cambiamenti. Tali cambiamenti sono stati guidati da un lato dalla capacità computazionale degli avversari che con sempre più ostinata determinazione ne vogliono violare la segretezza, ma dall'altro lato la password è notevolmente cambiata in funzione dei contenuti che protegge.

Più importanti sono i dati che vengono protetti da password maggiore dovrebbe essere la sua complessità e quindi diminuire il rischio di un accesso non autorizzato.

Per questo motivo essa ha subito cambiamenti sia di funzione che di composizione durante questi ultimi anni. Dalle classiche parole "chiave", facili da ricordare ma altrettanto facili da essere individuate attraverso attacchi a "dizionario" alle meno note ma molto utili "Mnemonic Password Formula" (MPF). Queste ultime hanno l'obiettivo di spostare il problema principale di ogni password: ovvero ricordarsela.

I criteri di scelta

In questo caso il focus si sposta dalla "parola utilizzata" al "modo con cui si compone" la parola segreta, una vera e propria formula generatrice di parole chiavi capace di comporre parole uniche in funzione del momento o luogo logico (dominio, connessione, luogo di accesso, etc) dove si utilizzano. Questa formula, molto “personale”, possiamo immaginarla come fosse la risposta a un problema o a una domanda difficile a cui però sappiamo rispondere.

Il vantaggio di utilizzare le formule mnemoniche risiede nella facilità di composizione ma allo stesso tempo può lasciare un marker, un massimo comune divisore in ogni parola generata che introduce una potenziale vulnerabilità nel momento in cui una di esse venga violata.

In caso di furto

Le password non sono tipicamente trattate da sistemi in nostro possesso, basti pensare ai numerosi data leak che ogni settimana popolano il digitale, ma contrariamente vengono gestite dagli operatori di piattaforme sulle quali noi utilizzatori facciamo accesso. Per cui la possibilità che un attaccante comprometta uno di questi sistemi e riesca a prelevarne una non è trascurabile.

Quando tale furto accade, se l'utilizzatore ha implementato la sua password attraverso una MPF, l'attaccante potrebbe individuare il marker generatore e dedurre numerose altre password utilizzate su altri sistemi.

Per questo motivo oggi non è più consigliabile l'utilizzo di tali framework ma è fortemente consigliabile l'utilizzo di generatori di password randomiche e complesse salvate in una password chain, ovvero una cassaforte cifrata utilizzata come contenitore di tutte le password generate e, per evitare il "single point of failure", ovvero un possibile data leak del contenuto della "cassaforte" si deve utilizzare un secondo fattore di autenticazione (2FA), preferibilmente attraverso APP e non attraverso SMS, per ridurre il rischio dello SIM Swapping (la sostituzione o duplicazione fraudolenta della Sim Card).

La password è un segreto e tanto più il segreto è importante per il suo detentore, tanto maggiore è la necessita di manutenzione. Non va dimenticata però la reale necessità di manutenere le password, ovvero di cambiarle, rigenerarle ed utilizzare metodi sempre più sofisticati per tenerle al sicuro, al fine di ridurre il rischio che esse vengano individuate ed utilizzate. Proprio come ogni segreto è necessario prevedere un piano di "declassificazione", ovvero prevedere il momento in cui il contenuto non sia più rilevante per il detentore e che quindi si possa dismettere la manutenzione della password o distruggerla definitivamente evitandone cosi l'utilizzo”.    

Le regole

Quando si tratta di proteggere i nostri asset digitali è comunque buona norma ricordare queste semplici regole:

1. Cambiare le password regolarmente ricordando di cancellare account e password che non usiamo più.
2. Utilizzare una password con almeno 12 caratteri (lettere, numeri, simboli speciali) che non abbia un senso compiuto: pA$$w0rD, non è una buona password, per intenderci.
3. Usare una password diversa per ciascun servizio: se le password da usare sono troppe possiamo utilizzare un password manager che le mette tutte in cassaforte e possa generare codici di accesso sicuri e  diversi.
4. Implementare l’autenticazione a due fattori: ogni volta che richiediamo l’accesso a una risorsa il sistema dovrà generare un token, inviato via app, per permetterci di usare l’account.