Come creare password sicura per proteggere l’identità online : riporto il testo trovato su : http://tecnologia.libero.it/come-creare-password-sicura-e-testarla-online-1185?ref=libero
Fare una password efficace non è semplice. Ecco alcuni consigli e trucchi per mettere al sicuro dagli hacker le informazioni personali presenti in Rete
Rappresentano la forma di difesa informatica “basilare”, capace di proteggere dati e informazioni personali dalla longa manu di hacker e pirati informatici vari. Per questo creare una password efficace è fondamentale nell’ottica di utilizzare social e altri profili web in completa sicurezza.
Con il passare degli anni, al potenziarsi delle tattiche di attacco degli hacker, sono state sviluppate tecniche sempre più elaborate per fare password sicure. Si va dalla combinazione di caratteri alfanumerici all’utilizzo di software appositi, sino all’impiego di un dado e una lunga lista di parole di senso compiuto. L’importante, ricordano gli esperti di sicurezza informatica, è non utilizzare informazioni personali o parole comuni all’interno delle chiavi di accesso utilizzate per i profili social o gli account di posta elettronica: si finirebbe solamente con il favorire il lavoro degli hacker.
Come scoprire una password
Quando arriva il momento di rubare password, infatti, i pirati informatici non vanno molto per il sottile. E, soprattutto, utilizzano mezzi completamente automatizzati così da non dover perder troppo tempo. La tattica più utilizzata è quella dell’attacco a dizionario: sfruttando un database composto da stringhe e parole di senso compiuto, gli hacker provano a bucare il profilo degli utenti inserendo possibili password a ripetizione. Una tecnica che torna particolarmente utile quando si è in possesso di grandi database con credenziali di accesso protette da crittografia: in questo caso per scoprire le password gli hacker trasformano il vocabolario (word list in gergo tecnico) in stringhe hash, così da confrontarle con quelle in possesso e trovare tutte le corrispondenze.
Come creare password sicure
Tra i vari consigli per fare password efficaci, dunque, il primo e più elementare è quello di non essere banali. Utilizzare il proprio nome e cognome o la propria data di nascita (così come ogni parola di senso compiuta presa singolarmente) o successioni di numeri come “12345678” è come invitare gli hacker a nozze. Bisogna, quindi, sforzarsi un po’ di più con la fantasia e trovare delle combinazioni particolari che possano rendere sicuri i propri account online.
Otto caratteri, almeno
Quando si parla di password efficaci e sicure, si parla senza ombra di dubbio di password lunghe. Ogni carattere aggiunto alle proprie chiavi d’accesso, infatti, rende più complesso e difficoltoso il compito degli hacker: in questo modo aumenta l’entropia e la quantità di lavoro (informatico, ma non solo) richiesta per scoprire la password di Facebook o della posta elettronica. Se fino a poco tempo fa i maggiori fornitori di servizi web consigliavano di creare password di otto caratteri, oggi la soglia si è spostata verso l’alto: il numero minimo di caratteri consigliati è dieci, ma se si fanno password di dodici caratteri sarà ancora meglio.
Combinata
Come detto inizialmente, utilizzare singole parole di senso compiuto non è consigliabile: si rischi di facilitare il lavoro di chi tenta come scoprire password. La password ideale (e non perfetta, dal momento che creare una chiave d’accesso perfetta è, probabilmente, impossibile) si compone di una sequenza casuali di caratteri alfanumerici: lettere maiuscole e minuscole, numeri e caratteri speciali (come punteggiatura, simboli matematici e altro).
Parole “modificate”
Nel caso in cui si volessero utilizzare comunque parole di senso compiuto, ci sono alcuni trucchi che permettono di fare password facili da ricordare, ma complesse da scoprire. Alcuni utenti, ad esempio, preferiscono sostituire i numeri alle lettere: lo “0” può andare al posto della “o”, mentre il “3” è il sostituto della “E”, l’”1” va al posto della “i” e il “5” come “S”. Una parola semplice come “Sentiero”, ad esempio, si può trasformare in “53nt1er0”: nulla di troppo complesso, ma sicuramente più difficile da scoprire per gli hacker.
Giocare con i dadi
Sempre restando nell’ambito delle parole di senso compiuto, una tattica che sta riscuotendo particolare successo negli ultimi anni è quella del diceware (dove dice sta per dado). Questa tecnica si basa su di un vocabolario formato da circa 60 mila termini di senso compiuto: parole utilizzate quotidianamente e identificate tramite un codice di cinque cifre da 1 a 6 (un codice, ad esempio, potrebbe essere 15465). Per creare password con il diceware sarà sufficiente dotarsi di un dado a sei facce (di quelli utilizzati per il Gioco dell’oca o per Monopoli, tanto per intendersi) e di un vocabolario creato ad hoc (si può utilizzare un dizionario diceware trovato in Rete in qualunque lingua; se si cerca quello in italiano lo si può trovare qui). A questo punto si potrà tirare il dado per cinque volte, appuntarsi la sequenza di numeri e andare a ricercare la parola corrispondente nel file scaricato. La peculiarità di questa tecnica è che consente di generare passphrase (frasi d’accesso) facili da ricordare (più o meno) in maniera semplice. Se, ad esempio, si vuole creare una passphrase di quattro parole (tutte di senso compiuto) basta tirare il dado per venti volte, raggruppare i numeri a cinque a cinque e confrontare le quattro sequenze numeriche ottenute con il vocabolario diceware e il gioco è fatto.
Generatore di password
La via più breve per generare password efficaci è quella di ricorrere a generatori di password, software e applicativi web in grado di creare una stringa di caratteri casuali, utilizzando caratteri alfanumerici e seguendo le indicazioni fornite dall’utente. I password generator possono creare password sicure composte da dodici e più caratteri, mescolando lettere maiuscole e minuscole, numeri e caratteri speciali. I servizi più celebri sono Identity Safe di Norton,LastPass, Password Generator e Random.org: basterà sceglierne uno, impostare le opzioni come meglio si crede e premere su genera. In pochissimi istanti si avrà la propria password casuale e lunga, impossibile (o quasi) da scoprire.
Mettere al sicuro le password
Il problema della password complesse, lunghe e casuali è che sono difficili da ricordare a memoria. Per questo motivo molti utenti preferiscono tenere (o creare) password insicure, ma facili da ricordare, piuttosto che fare password efficaci che mettano i dati personali al riparo da tentativi di attacco. Per ovviare a questo problema e poter così utilizzare chiavi d’accesso che proteggano effettivamente i nostri dati si possono utilizzare i password manager. Si tratta di software e applicazioni, sia installabili sulla memoria del dispositivo sia utilizzabili online, che consentono di salvare in maniera sicura le credenziali di accesso ai vari servizi. In questo modo sarà sufficiente collegarsi alla pagina di login per veder comparire automaticamente il nome utente e la password scelta e non si correrà più il rischio di dimenticarli. Vale la pena sottolineare che, nella gran parte dei casi, non è necessario installare alcun software aggiuntivo: i browser più utilizzati come Chrome e Firefox integrano, tra le varie funzionalità, un password manager pratico e sicuro.
Come testare la sicurezza password
Avete finalmente scelto la vostra chiave d’accesso casuale, alfanumerica, lunga o composta da più parole (pass phrase)? Se volete, potete testarla prima di utilizzarla con il vostro account di posta elettronica. Sul web, infatti, sono presenti diversi servizi che consentono di verificare quanto sia “forte” la password e forniscono, allo stesso tempo, un’indicazione su quanto tempo sarà necessario a un hacker per scoprire la password Facebook o di qualunque altro profilo.
Quattro i servizi per verificare la robustezza della password maggiormente conosciuti e utilizzati dagli utenti: Kaspersky secure password checker, The password meter, How secure is my password (quanto è sicura la mia password) e Safety and security checker Micorosft. Tutti questi tool forniscono un’indicazione sulla sicurezza della password, accompagnata da alcuni dati “complementari”: lo strumento di Kaspersky, ad esempio, indica, quanto tempo è mediamente necessario per bucare il profilo, mentre il password meter assegna un punteggio alla password in base ad alcuni criteri di sicurezza seguiti (lunghezza della chiave d’accesso, sequenza casuale o meno, presenza di numeri e caratteri speciali e così via). Nel caso i risultati non fossero quelli sperati (password poco sicura e facilmente indovinabile) si può seguire nuovamente la guida e creare una chiave d’accesso a prova di pirata informatico.
1) Concordo sul fatto che la password deve essere generata randomicamente, ma i generatori proposti sono giocattolini: Il software KEY-LOCK ha CHIAVI di 12.000 caratteri generati randomicamente ed è praticamente impossibile decodificarle.
2) Anche ROBIONICA ha fatto uno studio sulla estrema facilità con cui le password vengono decodificate: proprio utilizzando KEY-LOCK si può tenere a memoria una password semplice e ottenere, CRITTOGRAFANDOLA CON LA CHIAVE SICURA, una chiave di lunghezza doppia con tutti i simboli editabili della tastiera.
3) La lunghezza proposta di 12 caratteri è insufficiente, si potrebbe avere una certa sicurezza oltre i 30 caratteri.
4) La chiave generata dai generatori deve poi essere mantenuta su foglietti e altri mezzi insicuri: KEY-LOCK memorizza sul disco del PC la password semplice e ti permette di leggere la password sicura solo INSERENDO LA CHIAVE DI 12.000 caratteri.
—
5) Ogni passaggio di password non criptate nella rete è insicuro: KEY-LOCK lavora anche su PC non collegati in rete, mostrandoti a video la password sicura che ha generato.
6) La tecnica di sostituzione dei caratteri con cifre allunga la vita della password ma di poco: il suo destino è ormai segnato, infatti basta scorrere un vocabolario leggermente più grande.
—
7) La tecnica di giocare con i dadi crea una corrispondenza tra numeri a 5 cifre e parole: basta un vocabolario di 100000 parole e si trova tutte le password: la corrispondenza tra password semplici e password sicure fatta da KEY-ROBOING è inviolabile, SOLO AVENDO LA CHIAVE DI KEY-ROBOING si riesce ad ottenere la vera password utilizzata.
—
8) Il generatore di password, oltre ai limiti già detti, lavora in rete e quindi ti espone al prelievo della password già prima che arrivi a te.
9) Testare in rete la sicurezza della password è estremamente insicuro.
—
10) I politici americani dicono: Ti fideresti di comprare una auto usata da XXX? Io aggiungo, ti fideresti di inviare a Microsoft o Kaspersky la tua vera password? Domandiamolo a Hillary Clinton se si fiderebbe di Kaspersky che ha proprietari russi.
—