Perché abbiamo bisogno di una buona password ?
Si pensi a quanti numeri e a quante password, al giorno d’oggi, ognuno di noi deve ricordare, ad esempio i codici PIN, il codice BANCOMAT e a tante altre svariate password per altrettanti svariati motivi; con l’andar del tempo ricordarsi tutto questo può essere frustrante e ci si chiede se vale la pena fare tutto questo. Dopo tutto, perchè un hacker dovrebbe interessarsi del mio account e-mail o cercare di scoprire il mio account bancario e non interessarsi di altre persone piene di soldi ? La risposta risiede nel fatto che la scoperta e l’uso di qualsiasi informazione potrebbe risultare preziosa per futuri attacchi e molteplici altri scopi.
Come dovrebbe essere scelta una password ?
La maggior parte delle persone usano password basate su informazioni personali e di conseguenza facili da ricordare; questo sicuramente è un aiuto per chiunque sia interessato ad indovinare o “crackare” una password. Si pensi alla maggior parte dei PIN usati comunemente, questi infatti si basano o su date facili da ricordare (giorno-mese-anno), oppure riferito ad un numero di telefono o ad altre informazioni personali basati su numeri facili da ricordare. Ora si provi a pensare quanto facile sia per un hacker venire a conoscenza di questo PIN ! Per quanto riguarda invece la scelta della password per una casella di posta elettronica, questa in buona percentuale ricade su una parola contenuta nel dizionario italiano o inglese. Se così fosse, la password sarebbe suscettibile ad un “dictionary attack” , parliamo di un programma che prova a risolvere la password con tutte le parole del dizionario italiano ed inglese e tutto questo in termini relativamente brevi.
Una discreta difesa contro il “dictionary attack” potrebbe essere quella di non usare parole contenute nel dizionario, per esempio usare parole appartenenti a qualche dialetto italiano, oppure trovare un metodo mnemonico per ricordare la password scelta, ad esempio le iniziali di una frase che è facile ricordare :
Io Sono un Tifoso della Squadra A – potrebbe risolversi nella password : ISuTdSA ,
come si evince dall’esempio l’uso delle lettere minuscole e maiuscole complica la scoperta. L’abbinato uso di numeri e punteggiatura, inoltre, complicherebbe ulteriormente la scoperta per qualsiasi software.
Questo non significa, che la nostra password possa considerarsi una : “strong password”, specie se la password scelta viene usata per più sistemi. Per questo si suggerisce di usare la stessa tecnica per formare password differenti per ottenere l’accesso ad ogni singolo sistema.
Di seguito si riportano alcuni consigli per la scelta della password :
- Non usare password basate su dati personali che potrebbero essere facilmente scoperti;
- Non usare password che possono essere ricercate su dizionari di qualsiasi lingua;
- Sviluppare un processo mnemonico per strutturare una strong password;
- Usare insieme lettere minuscole e lettere maiuscole;
- Usare una combinazione di lettere, numeri e segni speciali;
- Usare differenti password costruite con le tecniche sopraccitate per ciascun sistema.
Come proteggere la propria password ?
Ora che abbiamo scelto una password difficile da indovinare, bisogna essere sicuri di conservarla in un posto sicuro lontano da occhi indiscreti.
Le cose da non fare sono:
- Scrivere la password su un foglietto e lasciarlo incustodito sulla scrivania;
- Rivelare la/e propria/e password (un hacker potrebbe tentare con trucchi psicologici via e-mail o tramite telefono di farvela dire – Social Engineering).
Nel caso il vostro Internet service provider (ISP) offra la scelta del servizio di autenticazione, privilegiare il protocollo di autenticazione Kerberos invece del challenge/response o l’uso di “pubblic key encryption” invece che di normali password.
Si sconsiglia inoltre di utilizzare programmi che offrono l’opzione di “remembering” della password, in quanto questi non assicurano le necessaria sicurezza .
E’ inoltre buona norma cancellare sempre i file temporanei di Internet Explorer (strumenti->opzioni internet->generale) ed effettuare l’operazione di Logout, specie quando si usano computer pubblici (librerie – Internet Cafè) o usati da più utenti nello stesso ufficio.
Cosa succede se perdiamo la/e password ?
Ci si potrebbe trovare nella situazione dove si venga a dimenticare la password. In caso di perdita/dimenticanza di password, sarebbe utile conservare la password protetta in qualche posto sicuro oppure escogitare una situazione logica che permetta di risalire alla password. A tal proposito, un comune stratagemma è quello di predisporre in anticipo una domanda e una risposta, in modo che quando è necessario verificare l’identità, basta dimostrare di conoscere la relativa risposta.
Il punto debole di questo sistema è che le informazioni richieste potrebbero rintracciabili senza troppo sforzo. Un suggerimento potrebbe essere quello di fornire una risposta intenzionalmente errata, in modo che impossibile per chiunque risalire ad essa.
Il punto debole di questo sistema è che le informazioni richieste potrebbero rintracciabili senza troppo sforzo. Un suggerimento potrebbe essere quello di fornire una risposta intenzionalmente errata, in modo che impossibile per chiunque risalire ad essa.
Nessun commento:
Posta un commento