Il primo giovedì di maggio si celebra il Word Password Day, una ricorrenza per ricordare di prestare sempre la massima attenzione dobbiamo si creano o modificano le password. Non sono accortezze che riguardano esclusivamente chi maneggia dati di grande valore. Quello delle password è un problema che riguarda tutti.

Ogni utente ormai usa un servizio di posta elettronica, almeno una piattaforma di streaming video, soluzioni per la DAD, e tanti altri accessi. Ciascuno è protetto da password che dovrebbero garantire la riservatezza dei dati, che di per sé stessi costituiscono un valore.

La scomoda verità

Fin qui la teoria, in pratica le password sono considerate come qualcosa che richiede tempo e fatica, quasi una scocciatura. Molti le gestiscono quindi usando scorciatoie ed espedienti come riciclare la stessa password per più servizi o scegliere password semplici e facili da ricordare.

Un recente sondaggio condotto da Bitdefender mostra che il 66% delle persone non prende in considerazione la possibilità di cambiare le password dopo aver saputo di importanti violazioni di dati. Più della metà non ha cambiato le proprie password negli ultimi 12 mesi. Inoltre, nonostante i progressi tecnologici e i servizi online che richiedono password più complesse, la password più usata al mondo rimane '123456' (associata a 7 milioni di credenziali su 1 miliardo analizzate).
Nello stesso campione analizzato solo il 12,04% delle password conteneva caratteri speciali. Il 28,79% era composto solo da lettere, il 13,37% conteneva solo numeri. Inoltre, il 34,41% di tutte le password terminava con delle cifre, ma solo il 4,522% iniziava con una cifra. Non ultimo, solo l'8,83% delle password analizzate era univoco, con una lunghezza media di 9.7965 caratteri.

Le conseguenze delle password deboli e riciclate

I cyber criminali non sono interessati solo ai dati delle grandi aziende. Le credenziali e le informazioni sensibili di qualsiasi persona hanno un valore sul mercato nero, quindi chiunque può essere vittima di un attacco. In particolare, sono tre i tipi di attacco che i cyber criminali usano per impossessarsi di username e password degli utenti.

Il più diffuso è il phishing. Funziona in modo semplice: la vittima riceve una email che sembra provenire da fonti affidabili (banche, operatori energetici, enti statali, aziende popolari) ma che, in realtà, mira a rubare informazioni riservate.

Il secondo è il dictionary hacking, un tipo di cyberattacco che comporta un tentativo di decifrare la password attraverso la sua formulazione. I criminali informatici provano diverse combinazioni a caso, combinando nomi, lettere e numeri, finché non trovano il codice giusto.

Il terzo tipo di attacco si basa sull'uso di un keylogger. Si tratta di un programma in grado di registrare ogni tasto premuto su un computer e persino ciò che si vede sullo schermo, e di inviare tutte le informazioni registrate (comprese le password) a un server esterno. Questi attacchi informatici prevedono in genere la presenza di un malware sul computer o sullo smartphone.

Una difesa efficace

Nel caso del phishing le migliori precauzioni sono due. La prima è abilitare l'autenticazione a più fattori su tutti i servizi che lo supportano. Questo livello extra di sicurezza richiede all'utente di inserire un codice inviato via SMS o generato tramite l'app del legittimo titolare del servizio. La seconda precauzione è diffidare di qualsiasi messaggio che contenga link e file da scaricare. Se la email invita tramite link a collegarsi al servizio, è sempre meglio ignorare il link e aprire una nuova tab del browser in cui inserire le credenziali.
Più difficile è prevenire gli attacchi dictionary hacking. Non c'è via d'uscita: occorre inventare password che siano il più lunghe e complesse possibile. Quindi senza nomi, date o parole di senso compiuto. In genere è più facile far creare password del genere a un gestore di password, che provveda anche da archiviarle data l'impossibilità di ricordare certe stringhe.

Infine, bloccare l'attività dei keylogger è complesso. Se il malware è presente sul computer e l'antivirus non l'ha intercettato, purtroppo farà il suo lavoro. Però chi usa la stessa password per più servizi passerà guai seri. Chi invece usa solo password univoche correrà i rischi correlati a un solo account per un solo servizio, quindi sarà più facile rimediare.

Le password rubate

Qualcuno potrebbe non sapere che fine fanno le password rubate. I criminali informatici compongono database con milioni di credenziali che vengono messi in vendita sul dark web. Questi vengono sfruttati, mediante attacchi automatici su larga scala, per provare ad accedere a siti web, reti aziendali, servizi bancari e di altro tipo. È il mercato delle password ad alimentare la maggior parte dei cyber attacchi contro privati e aziende. Questo è un altro buon motivo per proteggere a dovere le proprie password.