Home Articoli Tecniche e procedure La password : consigli per una scelta
La password : consigli per una scelta PDF Stampa E-mail
Scritto da Federico Pavan   
Martedì 02 Marzo 2010 14:29

 

La scelta di una password sicura è un aspetto di fondamentale importanza per accedere ai servizi in rete protetti; infatti, oltre a creare una chiave per accedere al sistema, si deve individuare un codice che sia difficilmente intercettabile, affinchè nessuno possa scoprirlo e utilizzarlo per scopi fraudolenti o di disturbo. Nella sicurezza di un sistema, il punto più debole , è la sempre la password.

 

I momenti in cui la sicurezza della password può venire compromessa sono molteplici, ma la prima perdita di sicurezza della password avviene al momento della sua creazione.

In questo istante l'utente si trova davanti alla necessità di inventare qualcosa che dovrà memorizzare e digitare molto spesso.

La tentazione più forte e di scegliere un nome facile e breve.

Ecco una lista degli errori che si commettono solitamente nella scelta della password: il proprio nome, il nome dell'amata/o, il proprio anno di nascita, il proprio numero di telefono, la targa dell'auto, la parola password stessa, una parola scritta al contrario, il codice fiscale, il nome del cane o del gatto, un nome breve e facile da ricordare.

Per scrivere password che possano garantire un buon livello di sicurezza occorre seguire alcuni consigli: non usare mai parole in inglese, non usare mai parole di senso compiuto, usare sempre password di almeno otto o nove caratteri, usare lettere maiuscole, minuscole, simboli e numeri, non usare tasti vicini tra loro sulla tastiera, non usare mai la stessa password. Il problema è quindi come ricordare senza errori una sequenza di lettere maiuscole e minuscole, simboli e numeri

Queste sono alcune linee guida indispensabili da seguire per trovare la miglior password possibile:

scegliere una password di una lunghezza non inferiore agli 8 caratteri;

non utilizzare parole di senso compiuto usate comunemente: esistono numerosi applicativi software freeware che, basandosi su dizionari internazionali, verificano tutte le parole caricate fino ad individuare quella corretta;

tenere a mente che le password più sicure contengono numeri, lettere e simboli. Ad esempio, se scelgo come password "mondo" posso creare una password molto sicura inserendo prima, dopo o all'interno, un numero: mondo433, 433mondo, mon433do e così via. I numeri e i simboli posizionati tra le lettere (o viceversa) aumentano il numero di opzioni possibili per un determinato carattere, questo rende più sicura l'intera password;

evitare i nomi dei propri figli, del coniuge o di un animale domestico, le date di nascita dei parenti più stretti, e tutte quelle parole che derivano da informazioni personali facilmente ottenibili da malintenzionati;

verificare la sicurezza di una password utilizzando un qualsiasi motore di ricerca (es. Google): se restituisce meno di 10 risultati, hai trovato una password sicura;

non usare una password che contenga parte dell'ID utente o dell'indirizzo e-mail;

non utilizzare la stessa password per numerosi servizi on-line. Sebbene sia un ottimo metodo per non dimenticarla, alla fine la probabilità che venga identificata aumenta in maniera esponenziale. Ogni volta che dovete scegliere una password, inventatene una differente. Se usate la stessa password per il pc, per la posta elettronica, i vari giochi, gli account dell'ufficio e i database aziendali, c'è un'altissima probabilità che qualcuno venga a conoscenza di una delle vostre password.

Tutti i consigli sopra esposti, se applicati, rendono sicura la navigazione. Ma definire e utilizzare una password sicura è un punto di partenza che deve necessariamente proseguire con una corretta conservazione.

Una volta scelta la password, si dovrebbero seguire questi criteri per assicurarsi che nessuno la scopra:

non digitare la password in presenza di estranei, che magari si trovano alle vostre spalle mentre la componete sulla tastiera. Un occhio attento può seguire i movimenti e memorizzare la password;

non trascrivere la password su un foglio di carta, nè in altro luogo;

non archiviarla in un file di un pc;

non rivelare ad altri la propria password;

non memorizzare la password nei tasti funzione di un terminale;

modificare la password di tanto in tanto: l'uso costante e abitudinario della solita password è un comportamento rischioso.

I puristi della sicurezza raccomandano di scegliere la password come una stringa casuale composta di numeri e lettere. Sebbene questa sia la scelta assolutamente la più sicura, è chiaro che è anche la meno usabile: parliamoci chiaro, tutti noi vogliamo password che possiamo anche ricordare con facilità, e siamo disposti a sacrificarne un poco la robustezza per ottenere qualcosa di mnemonico!

La maggior parte di noi sceglierà però una password più mnemonica. Ecco quindi qualche raccomandazione.

Prendete una parola che non si trovi in alcun vocabolario, preferibilmente di nessuna lingua del mondo (ma sicuramente non italiano e non inglese). Se non avete molta fantasia, potete anche unire due parole, meglio se di lingue diverse.

Ad esempio, tempo fa avevo optato per la frasetta WIlBalloSmooth ("smooth" in inglese significa "liscio" e quindi "viva il ballo liscio": chi mi conosce sa che sono un appassionato di tutt'altro genere musicale, e già questo aiuta la sicurezza della password).

Non è sufficiente però: qualche attacco "a forza bruta" potrebbe ancora riuscire a carpire la password, avendo a disposizione qualche giorno per lavorare.

Una volta trovata una buona base di partenza, cioè una frasetta di almeno 8 caratteri, dobbiamo inserire almeno un carattere speciale, come @#-_; eccetera. Sconsiglio le lettere accentate, perché in caso doveste utilizzare la vostra password da una tastiera non-italiana sarete tagliati fuori (a meno di operare qualche poco pratica modifica alle impostazioni del sistema).

Nel mio caso la scelta era ricaduta su 14 (il vecchio numero della mia maglia da giocatore) e relativo cancelletto. Quindi la password si è già evoluta in #14WIlBalloSmooth . Già difficile, ma per complicarla ulteriormente senza renderla troppo difficile da ricordare ho aggiunto il simbolo ; alla fine: ; è il terminatore di linea del linguaggio di programmazione C, per il quale non nutro particolare simpatia. Ecco quindi #14WIlBalloSmooth; .

Una volta scelta la nostra password, passiamo a fare le verifiche del caso, eseguendo il test noto come "Morris-Tomphson".

La password è più corta di 7 caratteri?

Contiene solo 7 caratteri alfabetici?

I caratteri sono tutti minuscoli?

È una qualsiasi parola di un dizionario di qualsiasi lingua (anche se scritta al contrario)?

È una data di nascita?

Non contiene neanche un carattere speciale?

Se anche solo una di queste condizioni è verificata, la password è teoricamente vulnerabile: i due ricercatori da cui prende il nome la prova sono riusciti a craccare ben l'86% delle password di acceso ai sistemi Unix testati nel 1979, il 26% nel 1990 e ancora l'82% delle password utilizzate al Financial District di Londra nel 1997.

 

Genera una password ad alta sicurezza al sito http://www.pctools.com/guides/password/

Leggi le password coperte da asterischi scaricando il programma da http://www.nirsoft.net/utils/astlog.html

Controlla la sicurezza della tua password su http://www.passwordmeter.com/

 

 

 

 

 

 
Ultimo aggiornamento Martedì 02 Marzo 2010 20:52
 
Copyright © 2012 VKT-SECURITY. Tutti i diritti riservati.
Joomla! è un software libero rilasciato sotto licenza GNU/GPL.