Password deboli, un problema serio.

Ogni anno il web è strapieno di blog e testate giornalistiche che parlano, con tanto di statistiche, di quanto le password banali e insicure siano le più utilizzate dagli utenti per accedere ai vari servizi online.

Un esempio degli ultimi anni:

"123456"  
"password"   
"juventus"  
"qwerty" 
"123123"  
"password1"  

Molto creative, vero?

Purtroppo a quest’ultime si aggiungono anche quelle password generate concatenando banalmente dati anagrafici e riferimenti identificativi.

"mariorossi1970"  
"mariorossimilan"  
"rossimario2022"  
Nomi di animali domestici   
ecc...  

Tutte queste soluzioni non sono affatto sicure dal punto di vista informatico. Dovrebbe ormai essere chiaro a chiunque che utilizzare password deboli, banali, scontate o che contengono riferimenti ai propri interessi e alla propria vita privata, è una pratica sbagliata attraverso la quale si serve sul piatto d’argento un’occasione succulenta a qualsiasi malintenzionato.

Attacchi di base

Le password molto deboli sono fortemente soggette ad attacchi di tipo brute force o dizionario. Quest’ultimo ad esempio si basa sul confronto tra le stringhe da violare, e un’immensa lista di stringhe comuni. Un dizionario, appunto.

É mirato ai casi specifici in cui le password in questione contengono parole o frasi di senso compiuto, come nell’esempio mostrato sopra. Un attacco del genere può anche essere personalizzato sulla base della malcapitata vittima, proprio come un vestito sartoriale realizzato su misura. Effettuando una sorta di profilazione, l’attaccante tenta di capire gli interessi della vittima al fine di ottimizzare quanto più possibile il dizionario utilizzato per l’attacco lasciando all’interno di esso solo le stringhe più interessanti, in modo tale da aumentare le possibilità di riuscita dell’attacco.

Le caratteristiche di una password robusta

Una buona password è alfanumerica, contiene caratteri speciali, ha una dimensione di almeno 16 caratteri, è casuale e univoca per ogni account che si possiede. Nessuna password dovrebbe essere riutilizzata per più di una volta.

Un esempio di password robusta generata casualmente:

P8$o55!aU96vpm&SNd$KJXrT

Piaccia o meno, la nostra vita, i nostri dati e la nostra privacy, non sono più dei fogli A4 scritti a mano e riposti in grossi e polverosi archivi. Facciamo tutti parte di questo fantastico e immenso universo fatto di dispositivi perennemente interconnessi: internet. Il quale però, non dimentichiamolo, è allo stesso tempo un grande campo di battaglia pieno di insidie.

Pensate a tutti i servizi che oggigiorno le persone utilizzano. E-commerce, home banking, investimenti, siti istituzionali, servizi ospedalieri, lavoro, cloud… sono solo alcuni dei tanti esempi. Quali potrebbero essere le conseguenze causate dalla pigrizia di aver generato una password debole per uno di questi account? Lascio a voi l’immaginazione.

Esiste un’immensa cultura di concetti interessanti e appassionanti da capire legati all’argomento password e credenziali, tra cui potenziali attacchi, altri tipi di minacce o vulnerabilità degli applicativi web. Ma questa chiacchierata, questo “viaggio” tecnologico, mi piace definirlo così, è volutamente riassuntivo e atto ad introdurre un altro argomento: quello dei password manager.