Nonostante l’industria stia cercando in ogni modo di trovare soluzioni alternative alle password, le combinazioni di numeri, caratteri speciali e lettere (possibilmente complesse!) sono destinate a rimanere sulla scena ancora a lungo.
Del resto tra account social, app, programmi per l’ufficio, siti internet e via dicendo il numero di password (psw) che l’utente medio si trova a gestire è incredibilmente elevato – avete mai considerato di provare un programma per la gestione delle password, un cosiddetto password manager?
In ambito lavorativo le combinazioni alfanumeriche assumono un’importanza ancora più rilevante in quanto sono uno dei, a volte l’unico, layer di difesa che si frappongono tra i malintenzionati e l’infrastruttura interna – dove sono presenti dati sensibili, asset strategici e backup vari.
Nel corso degli anni, con la costante evoluzione delle tecniche di attacco e più in generale delle minacce informatiche, le regole d’oro o policy per la creazione di password efficaci hanno subìto altrettanti aggiustamenti e modifiche. Nel post di oggi vedremo quali sono le “buone norme” del 2019.
Le “regole d’oro” generali
Iniziamo dai consigli degli esperti di sicurezza:
- definire dei requisiti per l’accettazione della psw come un numero dei caratteri minimo (di solito 8) e l’utilizzo di determinate tipologie di carattere (speciali, maiuscoli e minuscoli, numeri);
- impedire all’utente di utilizzare una combinazione già utilizzata in un altro portale/servizio/programma;
- obbligare l’utente alla modifica periodica, o ancora meglio frequente, delle credenziali;
- confrontare periodicamente le psw con liste pubbliche di combinazioni considerate “deboli” o compromesse (approfondimento nel quarto paragrafo);
- impedire che i dipendenti utilizzino il nome della compagnia (e relative varianti) nelle proprie credenziali.
Le indicazioni del National Institute of Standards and Technology (NIST)
Il NIST è un’agenzia governativa degli Stati Uniti che, tra i vari compiti, ha anche quello di aggiornare periodicamente le policy sulla creazione delle password – insieme alla Cina, gli USA sono uno dei giganti dell’high-tech a livello mondiale. Ecco le più recenti raccomandazioni lato utente integrabili con le precedenti:
- evitare password compromesse in precedenti violazioni di dati;
- non utilizzare parole del dizionario;
- non utilizzare password che si affidano a caratteri sequenziali e/o caratteri ripetuti (fghi789 o cccccc).
Alla ricerca delle password compromesse
La raccomandazione di “modificare frequentemente la propria password” è entrata di diritto nella lista anche in seguito alla pubblicazione online di alcune voluminose raccolte di password rubate, di cui la più recente e nota agli addetti ai lavori è la cosiddetta “The Collection #1” (gennaio 2019).
Il nutrito database, apparso originariamente su un noto portale di file hosting, era costituito da circa 2.7 miliardi di linee per un totale di oltre 1 miliardo di combinazioni nome utente/password (21 milioni di psw uniche e 773 milioni di indirizzi email unici) carpite in svariate violazioni dati avvenute tra il 2008 ed il 2015.
Il portale Have I Been Pwned, creato da Troy Hunt (Information Security Author & Instructor at Pluralsight, Microsoft Regional Director), è un prezioso strumento che aiuta a verificare la presenza o meno delle credenziali nelle famigerate “liste nere” apparse online. Il controllo si effettua in pochi secondi digitando un indirizzo email nell’apposita casella di ricerca al centro della pagina.
In caso di esito negativo è probabile che le credenziali associate all’indirizzo siano sicure ma, come è lecito immaginare, nemmeno Hunt è in grado di monitorare e disporre dell’elenco completo di tutte le psw rubate online – compito materialmente impossibile. Per questo motivo, è opportuno non abbassare mai la guardia e tenere a mente le buone norme elencate nei precedenti paragrafi.
Fonte: 1.