Staipa’s Blog

Il Blog di Stefano Giolo

Come gestire le password in modo sicuro?

Tempo di lettura 8 minuti

Gli informatici sono noiosi. La cosa è ormai risaputa. Vogliono che tu metta la password al pc e allo smartphone, vogliono che tu usi una password complicata e diversa sulla mail, vogliono che metti un’altra password diversa sul sito della banca, quando gli dici che la tua password è il nome del tuo gatto prima ti bacchettano perché è una password semplice poi perché gli hai detto la password e non si deve mai fare. Insomma, sono incontentabili. Anche perché diciamocelo. Chi se le ricorda cento password diverse?

La gran parte degli utenti utilizza password semplici, una lista delle più comuni la si può trovare per esempio su Wikipedia (https://tinyurl.com/MostUserPSW) ed è sconvolgente ogni volta vedere come tra le più usate ci siano ancora passwords come queste:

ClassificaPassword
1123456
2123456789
3picture1
4password
512345678
6111111
7123123
812345
91234567890
10senha
111234567
12qwerty
13abc123
14Million2
15000000
161234
17iloveyou
18aaron431
19password1
20qqww1122
Lista delle password più rubate nel 2020 secondo NordPass

Secondo NordPass (nordpass.com) che ha raccolto questa classifica le password rubate nello stesso anno sono state 275,699,516.
Un numero piuttosto grande.

Cosa succede se mi rubano una password?

Quello che accade dopo il furto di una password è che i dati di accesso iniziano a girare negli ambienti di Haking/Cracking, e vengono realizzate delle liste che possono essere usate per ulteriori attacchi. Dando per scontato che la gran parte degli utenti utilizza la stessa password su la gran parte dei sistemi è sufficiente aver attaccato un sito minore, magari un forum o un sito che l’utente non frequenta più da anni per poter fare tentativi di accesso su social che vengono usati tutti i giorni o peggio su siti di acquisti online o di pagamenti online. Il tutto ovviamente viene fatto in maniera massiva da software automatizzati. Non c’è un singolo utente che prova tutte le password, ma un software che ne prova milioni, creando probabilmente migliaia di account zombi da usare né più né meno che delle Botnet (https://wp.me/pQMJM-22w). Che poi le usi per dare Like a pagine Facebook o per spillare pochi euro a utenza questo è solo nelle mani di chi ha recuperato le utenze.

Questi furti non sono isolati e secondo Have I Been Pwned che si occupa di raccogliere dati su questo genere di attacchi, la lista di siti colpiti è piuttosto lunga, alcuni sono anche servizi molto noti in Italia, considerati molto sicuri, o a seconda del caso molto compromettenti. Ne elenco alcuni, ma sul sito è presente la lista completa e aggiornata (https://haveibeenpwned.com/PwnedWebsites)

  • 123RF
  • 8tracks
  • Adobe
  • Adult FriendFinder
  • Ashley Madison
  • Avast
  • Badoo  
  • Gmail
  • BitTorrent
  • Brazzers 
  • Creative
  • Disqus
  • Dropbox
  • Dungeons & Dragons Online
  • Epic Games
  • Forbes
  • GTAGaming
  • imgur
  • Kickstarter
  • Last.fm
  • LiveJournal
  • Mastercard Priceless Specials
  • Minecraft World Map
  • MyFitnessPal
  • MySpace
  • Patreon
  • Sephora
  • Snapchat
  • SIAE Società Italiana degli Autori ed Editori
  • Sony
  • Trillian
  • tumblr
  • Unreal Engine
  • uTorrent
  • Vodafone
  • Xiaomi
  • Yahoo
  • YouPorn 


Questo significa che chi aveva un account anche vecchio su uno (e molti altri) di questi siti e utilizza sempre la stessa password e lo stesso userid ha buonissime probabilità di ricevere violazioni su tutti i siti a cui è registrato. Non è difficile immaginare la portata del rischio, e ovviamente non basta cambiare la password sul singolo sito che ha avuto la falla.

La settimana scorsa, mentre scrivevo questo articolo, per esempio sembra siano stati trovati in vendita i dati di 2 milioni e mezzo clienti italiani di Ho Mobile, di Vodafone (https://tinyurl.com/ybxbkz8k). E-mail, codici fiscali, numeri di telefono, indirizzi fisici, codici sim…

Esiste un modo per sapere se mi hanno rubato una password?

Sì e no. La certezza purtroppo nessuno può averla ma proprio Have I Been Pwned (haveibeenpwned.com), che ha creato la lista di cui sopra, si occupa di recuperare il più possibile delle liste di utenze di questi cosiddetti data breach.

Basta andare sul sito e inserire il proprio indirizzo mail

Per scoprire compare in una delle liste che loro hanno recuperato.
Il mio indirizzo mail, ad esempio, è comparso in ben 21 data breach, situazione in cui i dati sono stati inavvertitamente esposti per errore dal sito, e in due pastes, ossia è passato in un “copia incolla” di siti come pastebin.com usati spesso dai Cracker per condividersi informazioni in maniera anonima.

Questo significa che se io, che sto scrivendo questo articolo, avessi tutte le password identiche la mia sicurezza informatica personale sarebbe decisamente violata. Significa anche che per ripristinare tale sicurezza dovrei ricordarmi tutti i siti a cui mi sono registrato e andare a modificare la password su tutti. E se sono 21 solo quelli segnalati non oso immaginare quanti siano i siti a cui mi sono iscritto da quando uso quell’indirizzo mail ad oggi.

Have I Been Pwned tra l’altro fornisce la possibilità di registrare il proprio indirizzo mail in modo che a ogni futuro data breach si può essere avvisati

Oltre a dirvi se il vostro indirizzo mail e la vostra password sono state esposte vi dice se collegati potevano esserci altri dati come il vostro nome, numero di telefono, indirizzo fisico di casa.

Perché esiste questo servizio? Perchè il mondo degli Hacker è esteso e vario.

hacker › s. ingl. [der. (con uso fig.) del verbo (tohack «tagliare, fare a pezzi» e sim.] (pl. hackers ‹∫›), usato in ital. al masch. – Nel gergo dell’informatica, chi, servendosi delle proprie conoscenze nella tecnica di programmazione degli elaboratori elettronici, penetri abusivamente in una rete di calcolatori per utilizzare dati e informazioni in essa contenuti, per lo più allo scopo di aumentare i gradi di libertà di un sistema chiuso e insegnare ad altri come mantenerlo libero ed efficiente.

Vocabolario Treccani (https://www.treccani.it/vocabolario/ricerca/hacker/)

E se da una parte i Cracker, ossia gli Hacker malevoli che vediamo nei film si occupano degli attacchi che causano danni e di guadagnare da tali attacchi, gli Hacker “buoni” appartenenti alla cultura Hacker originaria studiano i problemi di sicurezza, avvisano le società che ne sono vittima e aiutano gli utenti a proteggersi al meglio condividendo le informazioni che i Cracker utilizzerebbero contro di loro.

Password managers

Ma come si fa ad avere password complicate e sempre diverse? In primo luogo, le password dovrebbero essere lunghe, e non contenere parole di uso comune o date importanti. Un sistema usato per superare la barriera delle password è proprio tentare in maniera automatica tutte quelle più comuni, o varie combinazioni delle parole del vocabolario. Un’idea che viene spesso consigliata per proteggerci dagli sconosciuti è quella di usare combinazioni di lettere maiuscole o minuscule o cambiare lettere con numeri e usare qualcosa che facciamo poca fatica a ricordare. Ad esempio, se io abitassi in via paolo fabbri 43 a Bologna, potrei usare VpF43B o volendo farne una lunga viaF4BBR14380L0gna. Sarebbe sicuramente difficile da scoprire ma già il fatto che sia un’idea che viene spesso consigliata, la rende un’idea da non usare. Inoltre, non sarebbe semplice essere iscritti a decine di siti e ricordare decine di password del genere diverse tra loro.

Quindi? Quindi una buona soluzione è utilizzare un password manager. Ce ne sono molti sul mercato, sia gratuiti e opensource sia a pagamento. Io consiglio per esempio LastPass (gratuito con alcuni servizi aggiuntivi a pagamento), KeePass Password Safe (gratuito e opensource), NordPass (gratuito o a pagamento), 1Password (a pagamento ma piuttosto economico).

Un Password Manager è un software che si occupa di salvare le vostre password, suggerire password complesse pseudocasuali

Generatore di password di LastPass

Ed eventualmente sincronizzarle su più dispositivi in modo sicuro.

Cosa rende più sicuro un password manager della nostra memora?

Il fatto che lui può ricordare migliaia di password molto più complicate di noi è il primo punto a favore, poi il modo in cui è costruito.
Le password inserite vengono criptate e salvate in locale, qualora si scelga di sincronizzarle nel cloud verrà inviato solamente un file criptato che non può essere letto neppure da chi ha sviluppato il password manager, e quindi neppure da un Cracker che attaccasse l’azienda. L’unico modo per decrittare quel file è l’unica master password che creerete e che dovrete ricordare.
Questa sì va ricordata, perché senza quella neppure voi potrete recuperare le password, e non c’è alcun modo per riaverla se l’avete dimenticata. Un malfattore che dovesse attaccare l’azienda produttrice del password manager di conseguenza si troverebbe milioni di file criptati in maniera diversa tra loro e la spesa per trovare tutte le password di ogni singolo account sarebbe talmente esosa che tale dispendio rende in sé verosimilmente sicuro il sistema.
Molto più sicuro di avere nella propria testa le stesse password.

Anche i browser moderni si offrono di salvare le password, può essere anche questa una buona idea, la differenza sostanziale è che se ad esempio salvate le vostre password sul browser di un certo produttore, diciamo a titolo esemplificativo Google per Chrome, Microsoft per Edge, Apple per Apple o Mozilla per Firefox (non sono gli unici browsers al mondo) basterà avere la vostra password di Google, di Microsoft, di Apple o di Mozilla per avere tutte le vostre password. Un buon password manager invece in genere vi fa creare una master password indipendentemente dall’utenza che usate per il servizio. Inoltre, i browsers non vi suggeriscono password complicate, se volete mantenerle diverse dovete inventarle voi ogni volta.

Un buon password manager, inoltre, verifica in automatico la robustezza delle vostre password e vi avvisa qualora ci sia qualche problema.

Autenticazione a due fattori

Per rendere più sicuri gli accessi esiste anche un altro metodo che metterebbe al sicuro, ad esempio, le password sincronizzate su Chrome, Edge o Safari ma che sarebbe bene utilizzare su ogni servizio importante. Si chiama autenticazione a due fattori.
Viene fornita da moltissimi servizi di alto livello, ad esempio Google, Microsoft, Apple, Facebook, Instagram, Twitter, Amazon, LastPass, Linkedin, PayPal, WordPress, Yahoo, eBay, Dropbox, qualunque banca seria e molti altri.
Per i sistemi bancari è generalmente obbligatoria, per gli altri si può richiedere nelle impostazioni.
Il meccanismo è semplice: ogni volta che inserite user e password per accedere da un nuovo dispositivo, vi verrà richiesto di fare un’azione ulteriore (il secondo fattore), che potrebbe essere inserire il codice ricevuto in un sms, approvare una notifica sullo smartphone, cliccare un link su una mail o altro.
Attivando l’autenticazione a due fattori ogni volta che qualcuno inserirà il vostro user e la vostra password voi sarete avvisati e potrete approvare l’accesso o allertarvi e cambiare la password.

Leggendo questo articolo ti sono venute delle domande a cui potrei rispondere nei prossimi articoli?

Qui puoi trovare tutte le domande semplici: https://short.staipa.it/ledomandesemplici


Conferenze

Sono disponibile per l'organizzazione di conferenze su Uso consapevole delle tecnologie, e su Come riconoscere le Fake News, o altri temi analoghi. Potete contattarmi attraverso i miei contatti su questo sito. Le conferenze possono essere declinate per formazione per adolescenti, formazione per genitori o formazione per insegnanti. Potete visitare l'apposita pagina Conferenze e Corsi per maggiori informazioni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa cookies per fornirti la migliore esperienza. Se sei d'accordo clicca sul tasto 'Accetta cookies', altrimenti controlla la privacy cookies policy e scegli nel dettaglio.

Impostazioni Cookie

Di seguito puoi scegliere quale tipo di cookie consentire su questo sito Web. Fai clic sul pulsante "Salva impostazioni cookie" per applicare la tua scelta.

FunzionaliQuesto sito utilizza cookie funzionali. Questi cookie sono necessari per farlo funzionare.

AnaliticiQuesto sito utilizza cookie analitici per consentire di analizzarne l'uso e le visite alle pagine allo scopo di migliorare l'esperienza utente.

Social mediaQuesto sito web inserisce cookie di social media per mostrarti contenuti di terze parti come YouTube e Twitter. Questi cookie possono tracciare i tuoi dati personali.

AltriQuesto sito inserisce cookie di terze parti da altri servizi di terze parti che non sono analitici, social media o pubblicitari.