L’importanza di avere una password sicura e affidabile è troppo spesso sottovalutata.
Basti pensare a tutte le password che si limitano al nome del proprio cane, alla data di nascita, allo sport preferito o al nome di una città specifica.
Per quanto gli stessi siti, piattaforme e gestori di servizi online cerchino di indirizzare l’utente nella scelta di una chiave d’accesso più complicata ed efficace, imponendo l’utilizzo di chiavi alfanumeriche e contenenti almeno un segno di punteggiatura, è sempre molto diffusa la tendenza dell’utente medio a “banalizzare” le proprie credenziali di accesso.
In sostanza, questo significa consegnare i propri account privati o aziendali nelle mani anche dei cyber criminali meno esperti: è come lasciare le chiavi della propria casa attaccate alla serratura, per dare libero accesso ai ladri.
Quanto sia fondamentale dotarsi di una password a prova di bomba è tanto più evidente se si pensa alla quantità e alla sensibilità dei dati che ogni utente custodisce e protegge con essa.
Immaginate che le cinque password più utilizzate al mondo sono:
- 123456;
- password;
- 12345678;
- qwerty;
- 12345.
Un altro errore molto diffuso è quello di utilizzare la stessa password per più account e siti diversi, così che sia sufficiente indovinare una sola password per poter avere facilmente accesso anche ad altri siti e account riconducibili alla stessa persona.
In questi casi, l’unica speranza che resta all’utente è che, avanti ad un lavoro reso così semplice, l’hacker si annoi e decida di rinunciarvi.
Tecniche ruba-password
I modi per scoprire la password di un utente sono davvero semplici.
Il primo e più banale sistema consiste nell’indovinare la parola chiave servendosi delle informazioni personali della vittima, come data di nascita, nome, affetti personali.
Un altro metodo prevede il ricorso all’ingegneria sociale, sfruttando il phishing per ottenere le password tramite messaggi e siti fake da parte di ingenui utenti.
Più oneroso e più lungo è il tentativo ad oltranza, cioè provare in automatico diverse password fino a trovare quella giusta, servendosi di programmi ad hoc, come John the Ripper.
In alternativa, è possibile intercettare la password quando viene trasmessa su una rete tramite messaggio o email. Anche i keylogger sono molto utilizzati per intercettare le credenziali: si tratta di trojan che registrano la chiave d’accesso nel momento in cui viene digitata sul dispositivo.
Come scegliere la password
Una password che sia sicura e affidabile deve avere una lunghezza di almeno 12 caratteri. Inoltre, deve essere alfanumerica, ossia comprendente numeri da 0 a 9, lettere, possibilmente alternando maiuscole e minuscole, e punteggiatura e caratteri speciali, come # &%?^ ecc.
Aumentando le tipologie di caratteri utilizzati, aumentano anche le possibili combinazioni a disposizione. Inoltre, è fondamentale utilizzare password diverse per account diversi, così da rendere autonomo l’accesso ad ognuno di essi.
Evitate nomi, parti di parole o parole che possono essere di uso comune o facili da indovinare, anche se scritte al contrario. Non affidatevi a informazioni personali o di vostri familiari, come i nomi, le date di nascita, il numero della carta di identità.
Come gestire le password
Dunque, ricapitolando: per essere davvero efficace, una chiave d’accesso deve essere complessa, mista e diversa da account ad account.
Tuttavia, si è ben consapevoli di come ciò comporti il rischio di non ricordarle e di come si renda necessario gestirle in modo sicuro.
Lo strumento per farlo è ricorrere ad un password manager, ossia un software che permette di gestire le diverse chiavi di accesso relative a più account, applicazioni e siti, utilizzandone un’unica centrale.
Una volta inserita quella chiave d’accesso, riuscirete ad accedere a tutte le altre, per cui sarà sufficiente ricordarne una per poter avere a disposizione tutte le altre.
Come scoprire le violazioni
Per sapere se le proprie credenziali di accesso siano state violate, bisogna individuare se queste rientrino in qualche data breach.
Ciò è possibile farlo attraverso il sito realizzato dall’esperto di cyber security Troy Hunt: haveibeenpwned.com, in cui sono stati raccolti tutti gli attacchi informatici principali degli ultimi anni.
Per capirne la portata, basti pensare che in esso si trova un archivio con più di 5 miliardi di account violati!
Come recuperare la propria password
Una volta capito come impostare una password sicura, come gestirla e come capire se il proprio account sia stato violato, può essere utile imparare a recuperare le proprie credenziali.
Violazione credenziali ID Apple
In questo caso, la procedura di recupero varia in base al sistema di sicurezza associato all’account:
- se vi è un’autenticazione a due fattori, prendere iPhone o iPad, accedete alle Impostazioni di iOS, premete sul vostro nome in alto e selezionate Password e sicurezza e Modifica password; se sul dispositivo vi è un codice di sicurezza, inseritelo e in seguito inserite la nuova password;
- se non vi è un codice di sicurezza, viene avviata la procedura di autenticazione a due fattori, per cui dovrete accedere ad un secondo dispositivo associato all’ID Apple, premere su Consenti e digitare il codice di verifica che compare a schermo; fatto questo, cliccate su Hai dimenticato la password? e inserite il numero di telefono, scegliendo Reimposta con numero di telefono, per poi digitare il codice di sicurezza e inserire la nuova chiave d’accesso;
- se utilizzate un Mac, accedete alle Preferenze di sistema, selezionate iCloud e cliccate su Dettagli account, poi sulla scheda Sicurezza e Modifica password, inserendo la chiave d’accesso amministratore del Mac e impostando una nuova chiave.
Violazione credenziali Google
Per recuperare la password di Google, collegatevi alla pagina principale di Google, cliccate sul pulsante Accedi e selezionate il vostro account o, se questo non compare, su Utilizza un altro account, inserendo l’indirizzo email o il numero di telefono associato al vostro account.
Selezionate Password dimenticata?, inserite l’ultima che ricordate in Inserisci l’ultima password; se non ricordate una vecchia password, selezionate Prova un altro metodo, rispondete alla domanda Quando hai creato questo Account Google?
Se non siete in grado di rispondere, selezionate Prova un altro metodo, inserite un indirizzo email secondario e poi il codice di verifica ricevuto all’indirizzo email.
A questo punto, potete inserire la vostra nuova password.
Ricordate che ogni account, piattaforma o sito dà la possibilità di reimpostare una nuova password e che, quando lo fate, la cosa più sicura è procedere alla disconnessione da tutti gli altri dispositivi associati all’account le cui credenziali sono state violate.