La scelta di una password complessa che puoi ricordare in modo affidabile può essere una seccatura. Ci sono molti campi per la creazione di password che hanno i propri requisiti: devono essere sette lettere, devono contenere un numero e così via. Seguire queste istruzioni non garantisce una password sicura, per niente. Ci sono tuttavia alcune regole da seguire e suggerimenti su come assicurarsi di avere la migliore password possibile... pur essendo in grado di ricordarla.
La prima regola per testare la sicurezza di una password è essere estremamente attenti quando si utilizzano strumenti online per testare le password. I siti web o il software scaricabile potrebbero prendere la password che stai cercando di testare e aggiungerla a un elenco di parole. Un elenco di parole è un elenco di password note e generalmente comuni. Gli elenchi di parole possono contenere milioni di voci e vengono utilizzati dagli hacker per indovinare le password invece del metodo più lento di provare tutte le possibili combinazioni a partire da "aaaaaa".
In altre parole, un elenco di parole conserva password come "Susie1202" e "Password12". Gli hacker eseguiranno l'elenco delle password sui siti sperando di ottenere una corrispondenza. È fondamentale avere una password che non sia in nessuno di questi elenchi. Questi elenchi di parole sono sorprendentemente efficaci, poiché molte persone usano password generiche o comuni. Per fortuna, non sei da solo: ci sono alcuni strumenti che ti possono aiutare: Controllori di sicurezza delle password.
Questi controllori sono generalmente gestiti da società di sicurezza informatica affidabili. Fare sempre attenzione quando si utilizza questo tipo di strumento, tuttavia, c'è sempre qualche rischio. Non dovresti semplicemente fidarti di qualsiasi sito Web o offerta di programmi per misurare la forza delle tue password senza essere assolutamente sicuro che sia sicuro - in effetti, anche alcuni le società di sicurezza informatica che offrono questi strumenti stessi consigliano di non utilizzare le tue password reali e di testare solo password potenziali o simili con i loro strumenti - nel caso in cui.
Quindi, come dovresti sapere quanto è forte la tua password senza utilizzare un sito Web o un'app per controllarla?
La risposta è sorprendentemente semplice: imparando di più su ciò che rende sicura una password e progettandone una di conseguenza.
Tipi di attacco
Quando si cerca di progettare una password sicura, è utile capire come gli hacker tentano di attaccare. Ci sono due tipi principali di attacco; forza bruta e dizionario.
Gli attacchi di forza bruta provano tutte le possibili combinazioni di personaggi. Con un tempo sufficiente, questo metodo alla fine craccherebbe ogni possibile password. Il principale svantaggio di questo tipo di attacco è che richiede tempo e più combinazioni si tentano, più tempo ci vuole. Il tempo necessario può essere astronomico: anche se un programma può eseguire decine di migliaia di possibilità al minuto, ci sono milioni di combinazioni possibili, rendendo questi attacchi inefficaci. È molto improbabile che password lunghe vengano decifrate utilizzando questo metodo, poiché eseguire tutte le possibilità e trovarle potrebbe richiedere decenni.
Gli attacchi con dizionario utilizzano gli elenchi di parole sopra menzionati per fare ipotesi plausibili su quali potrebbero essere le password. Questa tecnica riduce drasticamente il numero di ipotesi da fare rispetto agli attacchi di forza bruta, accelerando il processo di un enorme margine. Gli elenchi di parole sono generalmente basati su password trapelate note. Il software progettato per eseguire questo tipo di attacco può includere anche regole di "parodia alterata" che possono alterare le parole per provare anche varianti comuni. Ad esempio, una regola di manipolazione delle parole può provare a sostituire una "o" con uno "0" o ad aggiungere un "!" fino alla fine di una parola. Queste regole sono generalmente basate su sostituzioni o aggiunte comuni che le persone fanno – inutile dire che non è molto sicuro. Lo svantaggio principale di questo tipo di attacco è che l'attaccante deve avere la password già nel suo elenco di parole e l'attacco è valido solo quanto l'elenco di parole.
Come creare una password sicura
Ci sono tre fattori importanti nella sicurezza della password: lunghezza, unicità e complessità.
Suggerimento: NON utilizzare nessuna delle password o parti delle password menzionate in questo articolo poiché non sono sicure.
Il modo in cui la lunghezza influisce sulla sicurezza di una password è abbastanza semplice da capire. Più caratteri ha una password, più combinazioni di lettere devono essere provate prima che un hacker possa statisticamente indovinare correttamente. Ad esempio, ci sono molte più parole di sei lettere di quelle di quattro lettere. Infatti, per ogni carattere aggiunto il numero di combinazioni possibili totali aumenta in modo esponenziale.
La lunghezza è la migliore protezione contro gli attacchi di forza bruta, ma ricordare, ad esempio, una password di 64 caratteri non è esattamente facile. Inoltre non è necessario. La situazione ideale è creare una password così lunga da rendere impossibile spendere tempo ed energie per decifrarla. L'ideale è 10 caratteri o più - in quasi tutti i casi, sarà sufficiente.
Alcune persone potrebbero escogitare un piano per utilizzare una password follemente lunga, così lunga che sarebbe impossibile forzarla mai. Ad esempio, una poesia, il testo di una canzone o le opere complete di Shakespeare. Supponendo che il sito web lo consenta, funzionerebbe, ma a un certo punto un hacker potrebbe aggiungere questi esempi noti al proprio elenco di parole "per ogni evenienza" e quindi l'idea cade a pezzi. È qui che entra in gioco l'unicità.
L'unicità è difficile da giudicare. Degli oltre sette miliardi di persone sulla Terra, può essere difficile trovare qualcosa di completamente unico, ma vale comunque la pena provare. Alcune delle password più comuni, ancora in uso ancora adesso, sono: “admin”, “password”, “123qwe” e “qwerty”. Queste sono password terribili, non solo perché sono brevi, ma perché sono ben note, quindi saranno in ogni elenco di parole, probabilmente come una delle prime ipotesi. Alcune persone cercano di rendere queste password un po' più complicate usando "Password1!" ma questo è troppo prevedibile e lo è anche nella maggior parte degli elenchi di parole.
Per battere un attacco basato su elenchi di parole devi progettare una password che non sarà conosciuta o pensata. Il caso migliore è utilizzare una selezione di caratteri completamente casuale, ma probabilmente è troppo difficile da ricordare.
"UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO" sarebbe una password SICURA, ma non sarebbe pratica.
Una soluzione decente è usare una selezione di parole, che non significano nulla insieme. Un esempio, reso popolare dal webcomic XKCD, è "CorrectHorseBatteryStaple". Questo concetto è piuttosto forte, incoraggia sia la lunghezza che la casualità, e il risultato dovrebbe essere più facile da ricordare rispetto a una stringa casuale di caratteri e simboli. Puoi scegliere tutte le parole che ti piacciono: animali che ti piacciono, fiori, persino il nome di un attore preferito, purché siano diverse cose che riesci a ricordare. Anche cinque cose che hai seduto sulla tua scrivania in questo momento funzionerebbero!
Per quanto riguarda la complessità: è un must: è sicuramente uno degli aspetti più importanti della creazione di una password. La modifica delle lettere in numeri e l'aggiunta di simboli può aumentare la complessità delle password. Una stringa di dieci caratteri di lettere, numeri e simboli casuali è una password migliore e meno probabile che lo sia indovinato, della lettera "a" cento volte di seguito, che, a sua volta, è ancora una password migliore di “Password12!”.
La complessità è un buon modo per rendere le password più difficili da indovinare, ma le rende anche più difficili da ricordare. Si tratta di trovare un sano equilibrio. In generale, aggiungere una piccola quantità di complessità includendo un numero e un simbolo da qualche parte, è un miglioramento sufficiente per fare davvero la differenza sulla sicurezza della password. Non è davvero necessario cambiare il maggior numero possibile di caratteri in numeri o simboli: questo rende solo più difficile da ricordare.
Conclusioni
Per riassumere i tre requisiti, alcune buone regole da ricordare per le password sono:
- Le password dovrebbero avere 10 caratteri come lunghezza minima ragionevole, ma di più è meglio.
- Le password non dovrebbero essere semplici o comuni combinazioni di parole; dovrebbero essere unici.
- Le password devono contenere una gamma di tipi di caratteri inclusi numeri e simboli
Suggerimento: se sei curioso e desideri una dimostrazione visiva dal vivo di come la lunghezza e la complessità influenzino la sicurezza complessiva della password, l'utilizzo di un tester di sicurezza della password online non è una pessima idea. I seguenti esempi sono siti affidabili. Fai sempre attenzione a dove inserisci le tue password e le informazioni: alcuni siti potrebbero tentare di rubare le tue password. I siti seguenti sono noti per essere affidabili:
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php