Ogni primo giovedì di maggio ricorre la giornata mondiale dedicata alle password per sensibilizzare gli internauti sull’importanza di un dato che, in possesso di criminali informatici o malintenzionati, darebbe libero accesso a molti dati sensibili.
L’esigenza di creare un promemoria simile sottolinea come il problema di una password debole o riutilizzata per più servizi sia estremamente diffuso, rischiando di compromettere seriamente privacy e sicurezza informatica.
Molto spesso quando ci si iscrive a un nuovo servizio online si creano credenziali d’accesso facili da ricordare e qui nasce il problema in quanto questo fa si che le password siano estremamente semplici e corte e quindi facili da individuare.
Questo è lo scenario ideale per tutti quegli attacchi brute force che in pochi secondi inviano migliaia di password “standard” così da individuare quelle più deboli ed avere quindi accesso all’account e ai suoi contenuti.
Una password più lunga, complessa e casuale come una passphrase può aiutare in termini di sicurezza perché più difficile da decifrare, ma allo stesso tempo anche da ricordare e questo genera un’altra problematica dato che molti utenti del Web utilizzano per comodità la medesima password per molteplici servizi.
Molte di queste password sono inoltre fin troppo semplici, le più diffuse sono infatti “123456” o “password” senza preoccuparsi delle conseguenze qualora i titolari di queste credenziali dovessero rimanere vittime di hacking, e lasciando di fatto i propri dati alla mercé dei malintenzionati che avrebbero libero accesso a qualsiasi informazione creando scenari come accesso ai profili social, appropriazione indebita e furto di identità.
In un tempo in cui le registrazioni a siti Web e app sono praticamente all’ordine del giorno, pensare di avere una password veramente forte e differenziata e ricordarne di ognuna la corretta associazione, può risultare quasi impossibile e per questo motivo si va in contro a un secondo errore tendenzialmente fatale per la sicurezza informatica, ovvero riutilizzare la stessa password per più account.
Grazie ai frequenti furti di password le combinazioni user name/password sono facili da trovare, spesso a costi minimi o nulli, pertanto riutilizzare lo stesso dato o variarlo solo parzialmente è estremamente pericoloso se lo si usa per più servizi, in quanto una volta carpite le credenziali le stesse potrebbero essere utilizzate per accedere a servizi contenenti informazioni delicate.
Un metodo efficace per evitare la violazione dei propri account, è l’autenticazione a due fattori (2FA), ovvero un secondo passaggio per accedere al servizio prescelto dopo aver inserito la password, che di norma avviene con l’inserimento di un codice “usa e getta” ricevuto sul proprio dispositivo mobile fornito al momento dell’attivazione.
Attivare questa modalità fornisce un ulteriore livello di difesa oltre il semplice passcode, password, o passphrase e protegge in caso di debolezza delle stesse. Tuttavia molti fornitori di servizi online devono ancora implementare la 2FA nei loro sistemi di autenticazione, ed è possibile verificare lo stato di vari siti Web collegandosi alla pagina https://blog.futuretime.eu//twofactorauth.org/.
Un recente studio tra gli account Google attivi riporta però come, nonostante il servizio per Big G sia attivo già da diversi anni, gli utenti che lo hanno abilitato siano meno del 10%.
Esistono inoltre altre forme di autenticazione che possono aiutare gli internauti a proteggere i loro account come ad esempio il riconoscimento tramite le impronte digitali o la scansione dell’iride, ma in questo caso il loro utilizzo è molto meno diffuso e quindi di conseguenza adottato.
In un articolo pubblicato nel 2014 la Microsoft Research suggeriva un approccio alternativo. Dato infatti che una certa ripetitività nella scelta della password non può essere evitata, è opportuno creare le password in base al livello del servizio on line utilizzato.
Lascia un commento