Sebbene questo dato sia in parte giustificato dal fatto che molte persone sono registrate a pochi siti, sei o sette in media, resta il fatto che 6 utenti su 10 utilizzano sempre le stesse password. Fra questi, quelli più “spericolati” sembrano essere gli under 24.
Per capire come scegliere una password robusta verranno analizzate le varie tecniche utilizzate per entrare in possesso di una password altrui e come combatterle.
- Scoprire la password vedendola digitare dalla vittima, o trovandola scritta da qualche parte. Non serve a nulla creare una password robusta se poi viene digitata con leggerezza in presenza di altre persone, o viene annotata in bella vista sulla propria agenda, state attenti a non fare ciò.
- Scoprire la password conoscendo la persona e provando manualmente una serie di password che fanno riferimento alla persona stessa. La password non deve essere in nessun modo riconducibile alla propria persona, altrimenti un conoscente potrebbe facilmente scoprirla. Ad esempio i classici sono la data di nascita, il nome del partner, il numero cellulare, il colore preferito, ecc ecc…
- Avendo accesso al pc della vittima e trovando la password utilizzando degli appositi programmi di password recovery. Per evitare che le password vengano salvate sul nostro pc (dentro il registro di sistema) quando accediamo ad un servizio evitiamo di spuntare la classica checkbox “ricorda la password su questo computer” o simili, in questo modo la password non viene salvata sul pc e non è possibile recuperarla con nessun programma. Inoltre per evitare accessi non autorizzati al vostro pc, oltre a mettere una password sicura per l’accesso al sistema operativo, è buona cosa impostare l’attivazione dello screensaver almeno ogni 15 minuti di inattività proteggendo il ritorno al sistema operativo con password.
- Effettuando un attacco attraverso un software che prova in automatico tutte le password contenute in uno specifico dizionario. Per evitare questo tipo di attacco è importante non utilizzare parole di senso compiuto come password, esistono infatti dei software in grado di attaccare un sistema (come un server di posta) provando in rapida successione tutte le parole contenute in un dizionario della lingua italiana, fino a scoprire quella che da l’accesso al servizio.
- Rispondendo alla domanda segreta che alcuni servizi permettono di impostare durante la registrazione per permettere all’utente recuperare o cambiare la password smarrita. Per difendersi da questa tecnica si può inserire la parola che risponde alla domanda ma con dei caratteri alfanumerici aggiuntivi, ad esempio se la domanda è “il cognome da nubile di tua madre?” e la risposta è “Napolitano” voi inserite “!$%Napolitano!$%” altrimenti una persona che vi conosce saprebbe rispondere immediatamente alla domanda e potrebbe scoprire la vostra password.
- Inviando alla vittima una falsa email dove spacciandosi per il gestore del servizio (ad esempio il provider presso il quale si ha l’indirizzo email) si chiede di inviare la propria password, giustificando la richiesta con finti aggiornamenti del sito. Da ribadire che nessun provider o gestore di servizi informatici richiede ai propri utenti di inviare la propria password per email, quindi non bisogna rispondere al messaggio, ma segnalare eventualmente l’accaduto alle autorità competenti visto che si tratta di una tentata truffa informatica chiamata Phishing.
Per finire, ricordo che è consigliato cambiare una password almeno ogni 6 mesi e non utilizzare la stessa password per tutti i servizi che richiedono una autenticazione e che potete usare di alcuni servizi gratuiti che vi aiutano nella scelta della password, come per esempio PasswordBird.