Come creare password sicure

9 Ottobre 2010 0 di Elvio

In ambito informatico (e crittografico) una password (termine inglese che significa contrassegno, parola chiave, chiave o anche parola d’ordine) è una sequenza di caratteri alfanumerici utilizzata per accedere in modo esclusivo ad una risorsa informatica (sportello bancomat, computer, connessione internet, casella e-mail, reti, programmi, basi dati, ecc.) o per effettuare operazioni di cifratura.

Una password è solitamente associata ad uno specifico username (nome utente) al fine di ottenere un’identificazione univoca da parte del sistema a cui si richiede l’accesso. La coppia username e password fornisce quindi le credenziali assolute di accesso ed è una delle forme più comuni di autenticazione (detta anche procedura di login). Per lo scopo per il quale è utilizzata, la password dovrebbe rimanere segreta a tutti i non autorizzati. Per la sicurezza non è consigliabile che una password abbia senso compiuto e potrebbe essere costituita anche da una frase (nel tal caso si chiamerebbe passphrase).

Ma come creare una password sicura

La scelta di una password é un tema piuttosto ricorrente, che interessa tutti da vicino. Spesso, però, non abbiamo idea di come sceglierne una sicura per evitare possibili violazioni della nostra privacy. Qui vi offriamo alcuni semplici consigli per generare una password sicura.

Una password complessa e sicura deve soddisfare i seguenti criteri:
– Deve avere una lunghezza superiore agli otto caratteri.
– Deve essere composta da una combinazione di lettere, numeri e simboli
– Deve essere semplice da ricordare, ma difficile da indovinare.

Prestare attenzione però ad evitare:
– sequenze logiche di numeri o lettere e l’uso di lettere adiacenti sulla tastiera
– parole comuni con lettere sostituite da numeri o simboli, ad esempio “P@ssw0rd“
– il nome del coniuge o le date di nascita
– parole trovate nel dizionario, in qualsiasi lingua
– parole difficili da ricordare; questo genere di combinazioni devono essere annotate per essere ricordate ed è possibile che vengano intercettate da terzi.

Infine, sarebbe molto importante utilizzare password diverse per ogni sito Internet a cui ci si iscrive. In questo modo, se qualcuno dovesse trovare una delle nostre password, non potrebbe accedere agli altri servizi a cui siamo iscritti, come social, chat, email, etc.

Cosa rende una password complessa
A un malintenzionato, una password complessa deve apparire come una stringa casuale di caratteri. I seguenti criteri possono essere d’aiuto per la creazione di una password:

Lunghezza adeguata. Ogni carattere che si aggiunge alla password contribuisce ad aumentare la protezione. La password dovrebbe contenere un minimo di 8 caratteri, ma la lunghezza ideale sarebbe dai 14 caratteri in su. (Se i sistemi la supportano sarebbe consigliabile l’uso di una passphrase perché è più semplice da ricordare rispetto a una singola password, inoltre è più lunga e più difficile da indovinare).

Combinazione di lettere, numeri e simboli. Più sono diversi i caratteri utilizzati per la password, più difficile sarà indovinarla. Va inoltre ricordato che:

– Meno tipi di caratteri si utilizzano nella password e più è importante aumentarne la lunghezza. Una password di 15 caratteri composta solo da numeri e lettere casuali è 33.000 volte più complessa rispetto a una password di soli 8 caratteri composta da caratteri disponibili sulla tastiera. Quindi se non è possibile creare una password che contenga simboli, per ottenere lo stesso livello di protezione, è necessario aumentarne la lunghezza.

– Utilizzare i caratteri dell’intera tastiera e non solo dei caratteri più comuni. I simboli che si ottengono tenendo premuto il tasto “MAIUSC” e digitando un numero sono molto comuni nelle password. La password è molto più efficace quando si sceglie tra tutti i simboli a disposizione sulla tastiera, compresi i segni di punteggiatura presenti sulla riga superiore e i simboli caratteristici della propria lingua.

– Utilizzo di parole e frasi facili da ricordare, ma difficili da indovinare per gli altri. Il modo migliore per ricordare le proprie password e passphrase è annotarle. Al contrario di quanto si pensa comunemente, non è sbagliato annotare le proprie password, purché siano conservate in un luoghi sicuri.

– Le password usate per internet sono più al sicuro se scritte su un pezzo di carta invece che memorizzate in un software di gestione specifico, su un sito Web o su altri strumenti di memorizzazione.

Come creare una password complessa e semplice da ricordare in 6 passi

1. Pensare a una frase semplice da ricordare. Questo è il punto di partenza per creare una password o passphrase complessa. Usare una frase semplice da ricordare, ad esempio “Mio figlio Andrea ha tre anni”.

2. Verificare se il computer o il sistema online supporta le passphrase. Se possibile, utilizzare una passphrase (con spazi tra i caratteri) sul computer o sul sistema online.

3. Se il computer o il sistema online non supportano le passphrase, convertirle in password. Prendere la prima lettera di ciascuna parola della frase per crearne una nuova che non avrà alcun senso. Utilizzando l’esempio precedente, si otterrà: “mfahta”.

4. Rendere la password ancora più complessa usando lettere maiuscole e minuscole alternate a numeri. È utile a tal fine spostare le lettere o scrivere parole con errori ortografici. Nella passphrase composta in precedenza, ad esempio, si può provare a scrivere il nome Andrea con qualche errore oppure sostituire la parola “tre” con il numero 3. Le sostituzioni possibili sono molte e a una frase più lunga, come detto, corrisponderà una maggiore complessità. La passphrase potrebbe diventare “Mio FigliO Andr3A ha 3 anNi”. Se il computer o il sistema online non supporta le passphrase, utilizzare la stessa tecnica per creare una password più breve. La password, in questo caso, potrebbe essere “MfAh3a”.

5. Infine, sostituire alcuni caratteri con simboli speciali. È possibile utilizzare simboli simili a lettere, combinare le parole (rimuovere spazi) e rendere in altri modi la password più complessa. Grazie a queste elaborazioni, si crea una passphrase del tipo “MioFigliO 8A h@ 3 @nni” o una password (utilizzando la prima lettera di ciascuna parola) “MF8h3@”.

6. Valutare l’efficacia della nuova password con lo strumento di controllo delle password. Lo strumento di controllo delle password è una funzione, che non registra le informazioni, disponibile sul sito Web e in grado di verificare l’efficacia delle password utilizzate.

Cosa evitare

Alcuni metodi utilizzati per creare le password sono molto prevedibili per i malintenzionati. Per evitare di creare password semplici da indovinare:

– Evitare sequenze o caratteri ripetuti. Password simili a “12345678”, “222222”, “abcdefg” o composte da lettere adiacenti sulla tastiera sono molto semplici da indovinare.

– Evitare sostituzioni di caratteri con numeri o simboli simili. Gli utenti malintenzionati abbastanza abili da decifrare una password non si lasceranno ingannare da sostituzioni con caratteri simili, ad esempio della lettera “i” con il numero “1” o della lettera “a” con il simbolo “@”, come in “St4mp0l4mp0” o “P@ssw0rd”. Queste sostituzioni possono essere efficaci se combinate con altre misure di protezione, quali la lunghezza, gli errori ortografici o le variazioni da maiuscole a minuscole, che contribuiscono a rendere più complessa la password.

– Non utilizzare il nome di accesso. Non è consigliabile utilizzare come password una parte del proprio nome, la data di nascita, il codice fiscale o altre informazioni simili. Questi sono i primi tentativi messi in atto da un utente malintenzionato.

– Non utilizzare parole presenti sul vocabolario di una qualsiasi lingua. Gli utenti malintenzionati utilizzano strumenti sofisticati in grado di indovinare rapidamente le password composte da parole presenti in più dizionari, anche se con errori di ortografia, scritte al contrario o con sostituzioni. Tra queste sono comprese anche parole irriverenti o parole che non si pronuncerebbero mai in presenza dei propri figli.

– Non utilizzare la stessa password per più account. Se uno dei computer o sistemi online che utilizzano la password in questione viene attaccato, anche tutte le informazioni protette dalla stessa password saranno compromesse. È fondamentale utilizzare password diverse per ciascun sistema.

– Non utilizzare gli archivi online. Se gli utenti malintenzionati trovano le password memorizzate online o su un computer in rete, avranno accesso a tutte le informazioni protette con le medesime password.

La “password vuota” in windows

Una password vuota (nessuna password) in un account è più sicura di una password simile a “1234”. Gli utenti malintenzionati possono facilmente indovinare una password semplice, ma sui computer che utilizzano Windows XP, un account senza password non è accessibile in remoto da una rete o da Internet (l’opzione non è disponibile per Microsoft Windows 2000, Windows Me o versioni precedenti). È possibile scegliere una password vuota per l’account del computer quando vengono soddisfatti i seguenti criteri:

– Si utilizza un solo computer o diversi computer, ma non è necessario accedere alle informazioni di un computer da un altro

– Il computer si trova in un luogo sicuro (coloro che hanno accesso al computer sono persone fidate).

L’uso di una password vuota non è sempre una buona idea. Ad esempio, su un computer portatile utilizzato in luoghi diversi probabilmente non è sempre al sicuro ed è quindi consigliabile utilizzare in questo caso una password complessa.

Tratto da: Microsoft

Per facilitarvi ulteriormente il compito ho inserita una utilità ricca di opzioni, che genera password assolutamente sicure. Saluti