Close Menu
    giovedì, Novembre 21
    Trending
    Login
    Teoria

    Password: come funzionano e perché sono importanti

    Le password come funzionano e come creare chiavi di accesso sicure per proteggere i nostri dati.
    Enrico Maiorino09 Mins Read27 Views
    password

    Nel mondo informatico, la password è una sequenza segreta di caratteri (lettere, numeri e/o simboli) utilizzata per autenticare l’identità di un utente e concedere l’accesso a un sistema, un’applicazione o un account digitale. Funge da misura di sicurezza per proteggere informazioni e risorse da accessi non autorizzati. La sequenza può essere composta in vario modo e secondo svariati criteri, che sono quelli che la rendono più o meno sicura.

    La password è composta da sole lettere o soli numeri o un mix tra i due, e con una lunghezza consigliata di almeno 12 caratteri aggiungendo anche qualche simbolo per offrire una protezione maggiore. Più una password è diversificata e lunga, più è sicura, perché malgrado diverse notizie di molteplici attacchi informatici subiti nel corso degli ultimi anni, si continuano ad utilizzare password poco sicure.

    La maggior parte di noi, utilizza password semplici che il più delle volte risultano banali e comuni, come ad esempio: il nostro nome, cognome, una sequenza di quattro numeri e la data di nascita. Un “hacker” potrebbe avere facile accesso a questo genere di password in brevissimo tempo.

    Un po di storia!

    Nato nel 1926 a Oakland in California, Fernando Corbató ingegnere informatico e fisico spagnolo morto nel 2019 per le complicazioni dovute a una forma di diabete, era conosciuto come l’inventore delle password di accesso e sicurezza e per aver introdotto i sistemi operativi di time-sharing (condivisione di tempo). Grazie al time-sharing, contribuì allo sviluppo del sistema CTSS, l’esecuzione delle attività della CPU suddivisa in diversi intervalli temporali assegnati, consentendo a uno o più utenti di svolgere più processi nello stesso tempo.

    Nel 2003, Bill Burr un ingegnere informatico scrisse alcune linee guida ufficiali sulla sicurezza delle password per il National Institute of Standards and Technology (NIST) negli Stati Uniti. Consigliano agli utenti di proteggere i propri servizi e conti correnti inventando nuove combinazioni di caratteri, utilizzando una sequenza di caratteri alfanumerici, maiuscoli, minuscoli e speciali e di cambiare password regolarmente ogni 90 giorni.

    Quattordici anni dopo, in un’intervista al Wall Street Journal, Bill Burr smentì quanto aveva pubblicato nel suo libro, ossia quello di cambiare frequentemente password e di mescolarle aggiungendo lettere maiuscole, numeri e simboli, provando a dare spiegazioni e nuovi consigli.

    Usare sempre la stessa password per siti diversi

    Non usare sempre la stessa password per siti diversi è fondamentale per la sicurezza online. Quando utilizzi la stessa password per più account, metti a rischio tutte le tue informazioni in caso di una violazione su uno dei siti.

    Se un hacker ottiene la tua password da un sito meno sicuro, può utilizzarla per accedere a tutti gli altri account con la stessa password, aumentando il rischio di furto di identità e perdita di dati sensibili.

    password cosa sono

    Inoltre, se i tuoi account più critici, come quelli bancari o di posta elettronica, condividono la stessa password di un sito meno sicuro, anche un attacco minore può avere conseguenze gravi. Infine, gli attacchi di phishing diventano molto più pericolosi se utilizzi la stessa password ovunque, poiché una sola distrazione potrebbe compromettere la sicurezza di tutti i tuoi account. Per evitare questi rischi, è essenziale utilizzare password uniche e complesse per ogni sito.

    Come vengono catturate le Password

    Ecco le principali venti tecniche usate da un hacker per compromettere le password e l’autenticazione degli utenti, dalle più tradizionali alle più sofisticate.

    1. Brute Force Attack: tentativo sistematico di tutte le combinazioni possibili di password fino a trovare quella corretta.
    2. Dictionary Attack: utilizzo di una lista predefinita di parole comuni e combinazioni per cercare di indovinare la password.
    3. Phishing: tecnica di inganno che induce l’utente a fornire volontariamente la propria password tramite email o siti web falsi.
    4. Keylogging: installazione di software malevolo che registra ogni tasto premuto dall’utente, inclusi nomi utente e password.
    5. Credential Stuffing: uso di combinazioni di nomi utente e password già compromesse da altre violazioni per tentare di accedere ad altri account.
    6. Social Engineering: manipolazione psicologica delle persone per ottenere informazioni riservate, come le password.
    7. Man-in-the-Middle Attack: intercettazione delle comunicazioni tra due parti per acquisire le password trasmesse.
    8. Rainbow Table Attack: utilizzo di tabelle precomputate di hash di password per decifrare rapidamente le password hashate.
    9. Password Spraying: tentativo di indovinare la password utilizzando le password più comuni su un gran numero di account, piuttosto che concentrare tutti i tentativi su un singolo account.
    10. Shoulder Surfing: osservazione diretta o indiretta (ad esempio tramite telecamere) mentre l’utente digita la propria password.
    11. Dumpster Diving: ricerca di informazioni sensibili, incluse password, tra i rifiuti fisici o digitali di un’organizzazione.
    12. Password Guessing: tentativi di indovinare la password basandosi su informazioni personali dell’utente (date di nascita, nomi di familiari, ecc.).
    13. SQL Injection: sfruttamento di vulnerabilità nelle applicazioni web per accedere direttamente al database contenente le credenziali degli utenti.
    14. Cross-Site Scripting (XSS): inserimento di script malevoli in siti web fidati per rubare le sessioni degli utenti e, potenzialmente, le loro credenziali.
    15. Offline Cracking: utilizzo di potenti computer o GPU per decifrare password hashate offline, dopo aver ottenuto accesso a un database di credenziali.
    16. Pass-the-Hash Attack: tecnica che permette all’attaccante di autenticarsi a un servizio remoto utilizzando l’hash della password dell’utente senza conoscere la password in chiaro.
    17. Malware: utilizzo di software malevolo specificamente progettato per rubare password, come trojan bancari o spyware.
    18. RFID Skimming: intercettazione di segnali RFID per ottenere informazioni di autenticazione da badge o carte di accesso.
    19. Credential Stuffing automatizzato: utilizzo di bot e script automatizzati per tentare l’accesso su larga scala utilizzando credenziali compromesse.
    20. Social Media Mining: raccolta di informazioni personali dai social media per indovinare password o rispondere a domande di sicurezza.

    Scrivere una password perfetta

    In qualsiasi cosa la perfezione non esiste, specialmente quando si parla d’informatica. Nel caso delle password ci si può avvicinare, poiché bisogna tenere a mente alcune semplici regole per poter crearne una sicura:

    • Lunghezza: consigliabile usare almeno 14 caratteri
    • Non utilizzare parole semplici e comuni
    • Non usare cognomi e nomi
    • Tipi di caratteri usati:
      • Numeri (0-9) = 10 tipi
      • Lettere = 52 tipi (26 minuscole + 26 maiuscole)
      • Caratteri speciali come: # &%? ^…. = 33 tipi

    Esiste un metodo per generare le password in modo da renderle ancora più sicure. E’ il metodo della frase inventata dal crittografo ed esperto di sicurezza informatica Bruce Schneier, specialista della privacy e anche scrittore statunitense. Fondatore della Counterpane Internet Securit, ha scritto diversi libri sulla sicurezza informatica🧺 e sulla crittografia.

    generazione di una password

    Metodo Bruce Schneier

    Secondo Bruce Schneier, la creazione di una password perfetta richiede un approccio un po’ diverso da quello che molti potrebbero pensare. Ecco i punti chiave del suo particolare metodo che in alcuni casi va contro le regole di molti siti:

    1. Lunghezza: Schneier sostiene che la lunghezza è più importante della complessità. Una password lunga è generalmente più sicura di una breve ma complessa.
    2. Frase passphrase: Invece di una singola parola, Schneier consiglia di usare una frase passphrase. Questa è essenzialmente una frase lunga e facile da ricordare.
    3. Unicità: La password dovrebbe essere unica per ogni account. Non riutilizzare mai una password tra account diversi.
    4. Casualità: Anche se la frase è comprensibile, dovrebbe essere casuale e non una citazione famosa o un detto comune.
    5. Non complicare inutilmente: Schneier suggerisce che non è necessario sostituire lettere con numeri o simboli (come “a” con “@” o “i” con “1”) se la password è già sufficientemente lunga.
    6. Gestione delle password: Per gestire molte password uniche, Schneier raccomanda l’uso di un gestore di password sicuro.
    7. Aggiornamento: Non è necessario cambiare regolarmente le password se sono forti e non sono state compromesse.

    Un esempio di password che segue questi principi potrebbe essere: “cavallodestrierobattaglia”, che è lunga, facile da ricordare, ma molto difficile da indovinare.

    Come usare una Passphrase in un metodo più moderno

    Il metodo di Schneier non può più essere utilizzato visto le regole stringenti che molti siti impongono nel momento di creare una nuova password.

    Una passphrase (frase di accesso) è una raccolta di parole o di stringhe alfanumeriche combinate in modo casuale all’interno di una frase utilizzata per autenticare o autorizzare l’accesso a un sistema o a un servizio. Poco utilizzate, le passphrase sono migliori rispetto alla tradizionale password poiché sono in grado di generare frasi lunghe ancora più sicure e facili da ricordare.

    Quando si decide di creare una passphrase, è importante utilizzare una combinazione di parole, numeri e caratteri speciali ed evitare passphrase comuni e deboli. Inoltre, è importante memorizzare e recuperare le passphrase in modo sicuro e utilizzare soluzioni di sicurezza per le passphrase per una maggiore sicurezza. Per creare una passphrase, puoi seguire questi passaggi:

    • Scegliere una frase personale: utilizza una frase personale o facile da ricordare. Ad esempio, “Bingo bongo era il mio cane
    • Prendere le lettere iniziali delle parole: adesso prendi soltanto le prime lettere di ciascuna parola nella tua frase. Ad esempio, “Bbeimc”.
    • Aggiungere maiuscole, numeri e caratteri speciali: per rafforzare la propria passphrase, puoi aggiungere una o più lettere in maiuscolo, numeri e caratteri speciali. Ad esempio, BbeimcHS24!, dove l’aggiunta HS24 potrebbe essere parte della tua targa auto e ! il tuo carattere speciale preferito. Oppure potresti usare Bbeimc!HS24 dove dividi la passphrase e la targa con un carattere speciale.
    password

    Conclusione

    La creazione e la gestione di password sicure rimane un aspetto fondamentale della sicurezza informatica moderna. Dall’invenzione delle password da parte di Fernando Corbató alle attuali best practices, abbiamo visto come l’approccio alla sicurezza delle credenziali si sia evoluto nel tempo.

    Le raccomandazioni di Bruce Schneier e il concetto di passphrase rappresentano un equilibrio tra sicurezza e praticità, enfatizzando l’importanza della lunghezza e dell’unicità piuttosto che della sola complessità.

    Tuttavia, con l’evolversi delle minacce informatiche, è essenziale rimanere vigili e adattare le nostre pratiche. L’uso di gestori di password, l’implementazione di autenticazione a due fattori, il passaggio alle passkey e la consapevolezza delle varie tecniche di attacco sono strumenti cruciali nel nostro arsenale difensivo. Ricordiamoci che la sicurezza delle nostre informazioni digitali è un processo continuo che richiede attenzione costante e adattamento alle nuove sfide del panorama digitale in rapida evoluzione.

    I prezzi di tutti i prodotti presenti in questo articolo sono stati presi al momento della scrittura. Se apprezzi le recensioni e i consigli che trovi sul nostro blog, ti invitiamo a utilizzare i link Amazon o Aliexpress🧺presenti in questa pagina. Così facendo, ci aiuti a guadagnare commissioni per sostenere il nostro lavoro e continuare a offrirti contenuti utili e informativi. Grazie per il tuo sostegno, lo apprezziamo tantissimo!

    Share.

    Collaboratore di Gomoot, mi occupo di riportare le ultime news e guide riguardanti la tecnologia. Sono appassionato tecnologia, fotografia e finanza dal 2013.

    Articoli collegati

    Add A Comment

    Comments are closed.