Se ti ricordi la password per entrare nella posta, su Netflix o Amazon, stai sbagliando qualcosa. Vuol dire che hai creato una password facile da ricordare: il nome della mamma, del gatto, delle vacanze o della squadra del cuore. Saranno le prime password che un malintenzionato userà per accedere al posto tuo a uno dei servizi che usi per lavorare o divertirti. E lo farà dopo aver letto il tuo profilo Facebook e LinkedIn, in cerca della giusta associazione. Ma ormai dovremmo saperlo tutti. Invece pare proprio che le cose non stiano affatto così. Diverse ricerche hanno dimostrato che gli utenti usano password troppo semplici da hackerare e per questo motivo il 6 maggio si celebra il World Password Day, la Giornata mondiale della password. Nata dall’idea di un ricercatore di sicurezza informatica, Mark Burnett, ha l’obbiettivo di ricordare a tutti l’importanza di una password sicura. Una sola? Magari. Ognuno di noi deve avere almeno 10 diverse password per la posta elettronica, lo streaming video, il registro scolastico e altri servizi e così finisce di usare sempre la stessa che, una volta compromessa consente di bucarli tutti.
Direte: ma tanto io non ho niente da nascondere! Sbagliato. Tutti noi abbiamo piccoli e grandi segreti che celiamo con le password, e per i cybercriminali, un marito geloso, un concorrente sleale o un investigatore privato, può essere semplice trovare il buco della nostra vita in cui infilarsi. Password insicure in realtà proteggono un insieme di dati personali sempre più importante, “metadati” inclusi (dove, come, con chi, con quale strumento, a che ora ho comunicato). Quelli che si sentono furbi usano il trucchetto di “camuffare” le password sostituendo le lettere coi numeri o con simboli speciali come “HacK3r$” ma grazie alla potenza di calcolo disponibile e a interi vocabolari in rete che le traducono sono comunque una pessima idea. Al pari di usare frasi celebri in latino, del tipo “Lex dura lex sed lex”, la più usata dagli avvocati.
Perciò partiamo da un dato: secondo Verizon Data Breach Investigation Report, l’81% delle violazioni informatiche passa per il furto delle credenziali. Semplificando, questo vuol dire che se la maggioranza di noi si dotasse di password sicure il numero dei cyberattacchi nel mondo subirebbe un drastico calo. Si pensi infatti che diverse indagini hanno mostrato che su un miliardo di credenziali analizzate, circa sette milioni erano ‘123456’, e poi le solite ‘password’, ‘dragone’, e ‘Ronaldo’. La giornata mondiale delle password è insomma una ricorrenza importante visto che ogni anno aumenta il numero di databreach, violazioni massive di dati, password comprese, che generano furti di identità e truffe informatiche che colpiscono veramente tutti. Nonostante ciò, le password sono considerate come qualcosa di noioso, che richiede attenzione e fatica, una scocciatura davanti alla fretta di accedere a un sito, chattare in libertà, spedire un documento. Motivo per cui prendiamo scorciatoie pericolose, come usare la stessa password per più servizi o scegliere password semplici e facili da memorizzare e a non cambiarle dopo un data breach. Secondo Bitdefender il 66% delle persone non considera la possibilità di cambiare le password dopo aver saputo di importanti violazioni di dati, e più della metà non ha cambiato le proprie password negli ultimi 12 mesi. Ma il problema non è solo degli utenti comuni. Secondo Panda Security il 42% delle aziende si affida agli appunti per la gestione delle password; il 59% alla memoria umana per gestirle password; il 62% afferma di non prendere le misure necessarie per proteggere adeguatamente i dati mobili.
Password a difesa della privacy
Ma allora, come si sceglie una buona password e come ci si protegge? Beh, intanto aggiornando le password troppo deboli. Più le password sono lunghe, complesse e senza senso, più saranno difficili da decifrare per un attaccante. Poi bisogna proteggere smartphone, tablet e computer con un pin, una password o un codice biometrico. Infine adottare comportamenti sicuri. Tutte le volte in cui digitiamo le nostre credenziali online siamo potenzialmente vulnerabili: sia le persone vicine a noi che le telecamere possono vedere le password digitate.
In dettaglio ecco quello che si dovrebbe fare:
- Scegliere una password (o una passphrase) superiore a 12 caratteri che richiede un tempo 62 trilioni di volte superiore per essere hackerata rispetto ad una di 6 caratteri.
- Per creare una password robusta bisogna usare numeri, lettere, punteggiatura, maiuscole e minuscole.
- Mai usare per la password informazioni personali (il soprannome, il nome di figli e calciatori) e neanche frasi e riferimenti tratte da canzoni e film famosi
- Mai utilizzare la stessa password per più servizi digitali.
- È sconsigliato scrivere la password su fogli, file o agendine oppure provare a memorizzarle, meglio essere capaci di rigenerarla ogni volta secondo un codice noto a noi soltanto, un calcolo complesso, una domanda astrusa.
- Utilizzare l’autenticazione a due o tre fattori come facciamo con la banca: per accedere al conto corrente vengono utilizzati un ID, una password e una One Time Password (cioè una password usabile una volta sola generata ad hoc) che ci arriva via app o telefono.
- Utilizzare un password manager per memorizzare e gestire tutte le proprie credenziali. Si tratta di un software, gratuito o a pagamento, che agisce come una comoda “cassaforte”. Si apre e si prende la chiave che serve in quel momento in maniera automatica.
- Usare se possibile sistemi di riconoscimento biometrico come l’impronta digitale, l’iride o l’identificazione del viso.
Un mondo senza password
Ci vorrà del tempo per creare un mondo senza password e comunque averne una buona ci aiuta nel caso qualcosa vada storto. Per Cisco la crescita esponenziale delle password è un fenomeno che genera costi aggiuntivi e difficoltà di gestione. Le richieste su password perse e accessi incompleti costituiscono spesso la maggior parte delle richieste a help desk e customer care, con una conseguente perdita di produttività e aumento dei costi di supporto per l’azienda. Per questo ha annunciato una modalità di autenticazione senza password in modo che gli utenti possono accedere alle applicazioni cloud tramite una chiave di sicurezza o attraverso il riconoscimento biometrico. Ma ci sono soluzioni ancora più innovative come quelle dell’italiana ToothPic. La start up torinese ha inventato una soluzione per trasformare ogni smartphone in una chiave sicura per l’autenticazione online, sfruttando la firma nascosta e involontaria che lascia ciascuna fotocamera. Il sistema custodisce le chiavi del dispositivo in uso criptandole con un codice segreto estratto da una caratteristica hardware del dispositivo stesso: le imperfezioni di fabbricazione uniche e non replicabili dei sensori fotografici che rendono ogni dispositivo diverso da ogni altro mai prodotto.