Parafrasando una nota pubblicità questo oggi potrebbe essere il motto di tutti noi, costretti a ricordare, secondo i ricercatori di NordPass, un numero medio di 70-80 password per avere accesso a tutti i dispostivi, applicazioni, programmi e dati sparsi un po’ ovunque nell’etere.
Una sfida con la quale ciascuno si confronta scatenando la propria creatività: c’è chi scrive le password sul telefono mascherandole con nomi falsi, chi le appunta su post-it che nasconde dimenticandosi poi dove, chi le fotografa, chi le scrive su un file salvato con un nome che poi regolarmente dimentica, chi usa la data di nascita del figlio, del partner, del migliore amico, chi utilizza la stessa password per qualsiasi sito o applicazione, e si potrebbe continuare all’infinito.
Una cosa è certa: la password è per tutti un elemento prezioso, un gioiello 2.0, da custodire gelosamente e con molta attenzione. Ci consente infatti di avere accesso ai nostri dati, diventati ormai beni primari, e, allo stesso tempo, impedisce a qualcun altro, magari malintenzionato, di prenderne possesso.
Ma è anche uno dei nostri peggiori incubi. Il suo furto o la sua compromissione possono infatti portare a vari incidenti di sicurezza informatica dalle gravi conseguenze, tra cui infezioni da ransomware, da malware, furto di dati. Per le aziende si tratta di rischi non da poco che possono comportare interruzione di attività, danni economici e di immagine.
Pare inoltre che lo smart working abbia aggravato di molto il problema. Secondo uno studio recente del 2022 il 62% dei dipendenti condivide le password tramite SMS o e-mail. La stessa ricerca riporta statistiche allarmanti sulla negligenza delle password, incluso il fatto che il 57% degli intervistati ha ammesso di aver scritto password online legate al lavoro su “note adesive” e, tra questi, il 67% ha dichiarato di aver perso quelle note.
Insomma, con le password non si scherza. Con il 50% degli attacchi informatici che coinvolgono credenziali di accesso rubate, mantenere le password al sicuro rappresenta un pilastro delle politiche di sicurezza.
Per questo la prima cosa che viene insegnata a tutti i navigatori della Rete che, secondo le ultime stime, sono 5,16 miliardi di persone, ovvero il 64% della popolazione globale, è quella di fare un uso consapevole e soprattutto sicuro di questo strumento. Cosa che si traduce prima di tutto nella generazione di password complesse.
Una password complessa deve essere imprevedibile, composta da un mix di lettere maiuscole e minuscole, lunga più di dieci caratteri e deve contenere numeri e caratteri speciali. Ad esempio, xT34?hjKL56#. Certo, immaginare di dover ricordare 70 password di questo tipo metterebbe alla prova anche l’utilizzatore più motivato.
Una valida alternativa è dunque rappresentata dall’utilizzo di un generatore di password complesse.
I principali browser hanno generatori integrati che vengono in aiuto a chi deve effettuare una registrazione e utilizzano uno dei tre metodi per generare una password casuale:
- Generatore di numeri pseudo-casuali (PRNG): il computer utilizza un algoritmo per generare il seme che forma la password casuale.
- Vero generatore di numeri casuali (TRNG): utilizza una fonte fisica come il decadimento radioattivo degli isotopi per generare il seme.
- Numero pseudo-casuale crittograficamente sicuro (CSPRNG): un tipo di PRNG adatto all’uso della crittografia.
Per proteggere la generazione della password risultante, un robusto generatore di password utilizza in genere funzioni hash o cifrature a blocchi, che agiscono per prevenire una serie di attacchi che potrebbero rendere le password non sicure.
I generatori di password in genere memorizzano le password pronte per l’uso quando l’utente tenta di accedere a un determinato sito web. A quel punto, il generatore fornirà l’accesso alla password o potrebbe precompilare il campo della password nella pagina di accesso. Pertanto, i generatori di password creano password robuste e sicure e possono anche aiutare a gestirle.
Questa soluzione non è però totalmente esente da rischi perché per quanto la password sia difficile da decifrare può comunque essere oggetto di phishing o può essere hackerata.
Rimane quindi importante mantenere l’attenzione sule proprie azioni online mantenendo sempre alto il livello di sicurezza. In particolare all’interno di un’azienda o un’organizzazione i dipendenti devono evitare di condividerle, scriverle su pezzi di carta o lasciare i propri computer o dispositivi connessi quando sono lontani dalle loro scrivanie. Insomma devono essere adeguatamente formati sull’igiene delle password e sull’importanza di tenerle al sicuro.
E, anche se può sembrare una conclusione banale, niente nel mondo della Cyber security lo è.
Per questo è necessario che più persone possibili ricevano la giusta formazione e prevedano nelle loro agende settimanali, uno spazio temporale per esercitarsi e mettere in pratica le loro conoscenze teoriche. E sappiamo tutti che nessuno lo farebbe per un periodo prolungato senza essere inserito in un apposito programma formativo.