Il 35% degli attacchi cyber sono ancora oggi riconducibili alla violazione delle password. Le credenziali smarrite o rubate rimangono infatti una delle principali tattiche di attacco utilizzate dai criminali cyber per effettuare frodi e violazioni di varia natura.
In questo ultimo anno, in cui le attività lavorative si sono alternate tra casa e ufficio, la sicurezza delle password è diventata ancora più importante. Lo smart working ha indubbiamente ampliato la superficie di attacco, mettendo in evidenza quanto il loro buon utilizzo sia determinante per poter costruire una solida difesa contro le minacce cyber.
Negli ultimi anni ci siamo abituati ad applicare alcune regole, suggerite da molte best practice, utili per creare delle password sicure. Regole che prevedono di concentrarsi sulla loro unicità, complessità, e, ovviamente, di aggiornarle regolarmente. Purtroppo, questi consigli, pur fondamentali, hanno indotto molti utenti a creare password più deboli anziché più forti, nel tentativo di gestire in pochi caratteri unicità, complessità e frequenti aggiornamenti.
Viste le percentuali di violazione ancora così alte, il National Institute of Standards and Technology (NIST) ha realizzato una nuova pubblicazione per superare queste criticità. NIST Special Publication 800-63B (Linee guida per l’identità digitale – Autenticazione e gestione del ciclo di vita) fornisce consigli utili e adeguati ed in grado di offrire una risposta puntuale alle nuove minacce.
Con l’intento di fornire indicazioni utili a riguardo, anche la Microsoft e il National Cyber Security Center (NCSC) hanno pubblicato delle nuove linee guida sulla gestione e sicurezza delle password.
Quali sono i principali suggerimenti per rendere le nostre password ancora più sicure?
Suggerimenti pratici per password sicure
Dove possibile, aumenta la lunghezza della password… riducendone la complessità
Creare password complesse continua ad essere un elemento determinante per renderele sicure. A fronte di questa buona regola, purtroppo si è generata la cattiva abitudine di riutilizzare più volte la stessa password apportando solo piccole modifiche. Secondo il National Cyber Security Council, le persone tendono ad usare modelli prevedibili per poter soddisfare i criteri di ‘complessità’ richiesti (come la sostituzione della lettera ‘o’ con uno zero, la ‘a’ con @, o la ‘i’ con !). Peccato che anche gli hacker conoscono molto bene queste strategie e le utilizzano per ottimizzare i loro attacchi. Per questa ragione la lunghezza della password sta diventando un fattore molto importante per renderle sicure. Una password più lunga è statisticamente più difficile da decifrare. Per questa ragione, il NIST consiglia alle organizzazioni di impostare la lunghezza massima della password sui 64 caratteri. Ciò consente l’uso di passphrase uniche e personali. Questo aiuta gli utenti a memorizzare password più lunghe, ma più facili da ricordare e molto più difficili da indovinare.
Crea una password diversa per ogni account… difficile da indovinare
Il riutilizzo della password è un problema comune e, secondo un sondaggio di Google, il 52% delle persone tende a riutilizzare la stessa password su più account. Ciò ha portato gli hacker a realizzare, sempre più frequentemente, degli attacchi cyber basati esclusivamente sull’acquisto nel dark web di liste di password compromesse. Utilizzando gli elenchi di credenziali rubate, gli hacker tentano di accedere agli account utilizzando le liste di password compromesse.
Per evitare di cadere vittime del cyber crime, è quindi fondamentale non usare mai la stessa password per account diversi, ma anche evitare di utilizzare come password parole tratte dal dizionario, stringhe ripetitive o sequenziali, password già usate, passphrase di uso comune o altre parole e schemi che gli hacker potrebbero facilmente indovinare.
Aggiorna regolarmente le password… ma senza utilizzare schemi facili da decifrare
Modificare frequentemente le proprie password è una buona regola da seguire e molte organizzazioni richiedono ai propri dipendenti di farlo a intervalli regolari. Questa regola può però diventare controproducente e peggiorare la sicurezza, se si utilizzano schemi comportamentali prevedibili come scegliere una nuova password che ha solo una piccola variazione rispetto a quella vecchia. Cambiare un singolo carattere o aggiungere un simbolo che assomiglia a una lettera (come ! al posto di I), non sarà sufficiente per fermare il cyber crime se la password è stata compromessa.
Il NIST consiglia pertanto alle organizzazioni di rimuovere questo requisito per rendere la sicurezza delle password più user-friendly. Partendo dall’idea che se una password non è stata compromessa, non è necessario farla scadere, e se invece è stata rubata, non avrebbe nessun senso attendere la scadenza per modificarla.
