Oggi come oggi ciascuno di noi è sommerso dalle password. Posta elettronica, Pec, Banca, Scuola, Lavoro, piattaforme web varie. Abbiamo talmente tante password che la difficoltà nel gestirle fa si che l'utente, alla fine, metta sempre le stesse cose magari anche banali tipo
"Gringo1234" o "Sara4567" incuranti del fatto che con le moderne potenze di calcolo anche password da 8 corratteri alfanumerici con Maiuscole possono essere craccate con una semplicità quasi disarmante (si parla di minuti per il discover tramite "Brute Force".
Esistono svariate tecniche di attacco delle password che non sono solo quelle di testare le varie combinazioni (anche perché se fosse così la crescita della potenza di calcolo non giustificherebbe la velocità con cui le password vengono scoperte). I software oggi usano dei vocabolari che lo password o le combinazioni di password più comuni per avvantarsi nella scoperta delle parole d'accesso. Spesso il confronto viene fatto su password già craccate o ovvie tipo nome+data o nome+numero o città+numero.
Non aiuta neppure il fatto che gli amministratori obblighino gli utenti al cambio password periodico perché questo genera anche dei comportamenti distorti che portano, spesso e volentieri a generare password molto simiti con il cambio si un numero spesso progressivo (tipo "Giulia1934" in "Giulia1935").
Tutto questo è un potenziale problema di sicurezza sia per noi che per le reti su cui operiamo, come ad esempio il lavoro. Ma allora come possiamo difenderci da questo mantenedo una gestione oculata delle credenziali di accesso?
Molti hanno risposto a questa domanda affidando le loro credenziali a gestori di Password on line (tipo LastPassword) il problema però è che questo sposta solo il rischio da molti punti di accesso alle credenziali (una per servizio) ad un unico punto di accesso a tutte le credenziali. infatti sono numerosi i tentativi di attacco a queste piattaforme perché il bottino è molto succulento per almeno 2 motivi. Il primo è che si può venire in possesso di cretenziali che poi possono essere utilizzate per attacchi più mirati il secondo è che queste credenziali, poi, vanno ad alimentare i vocabolari utilizzati dai software di BruteForce.
Il modo migliore per difendere i propri accessi è comunque quello di utilizzare non parole ma frasi con anche numeri o caratteri in modo creare password forti in grado di resistere per tempi accettabili a qualsiasi tipo di attacco così al posto di una password come "Giulia1234" (assai debole) possiamo usare una frase come "GiuliaVaAFareLaSpesaIl12DiOgniMese." questa è una frase/password sicuramente molto lunga e difficile da recuperare per qualsiasi tipo di software e computer ma, allo stesso tempo, non è difficile da ricordare.
In alternativa se proprio volete potete anche affiancare un software di gestione. Consiglio però che questo non sia un servizio web (per le ragioni prima esposte) ma un software tipo Keepass o ancora meglio KeepassXC (multipiattaforma) che lavora con il DB salvato nella nostra macchina (almeno finchè la nostra macchina non è compromessa le passowrd sono al sicuro).
Voi cosa ne pensate? Scrivetelo nel nostro gruppo Telegram (potete iscrivervi tramite l'icona corrispondente in testa alla pagina).