La violazione degli account degli utenti che utilizzano dispositivi dotati di connessione ad Internet è ormai all’ordine del giorno, e rappresenta uno dei problemi con cui la cybersecurity deve fare quotidianamente i conti.

Negli ultimi mesi, complice anche la pandemia, gli attacchi informatici ad opera dei cybercriminali si sono moltiplicati numericamente, oltre ad essere diventati più sofisticati.

Come abbiamo già visto, parlando dei dati più ricercati dai cybercriminali, tra questi dati troviamo sicuramente username e password degli utenti, grazie ai quali i malviventi possono rubare gli account e l’identità del povero malcapitato.

Come è possibile, dunque, gestire le password al meglio e renderle a prova di attacco informatico?

Scopriamo le regole di cybersecurity che riguardano la scelta delle password.

Cybersecurity: come avviene la violazione delle password

Ma, per poterci difendere efficacemente, dobbiamo prima di tutto cercare di capire come fanno i criminali ad hackerare le password degli utenti.

La consapevolezza dell’utente che utilizza dispositivi dotati di connessione Internet, infatti, è la base della cybersecurity: dunque, per poterci difendere dobbiamo innanzitutto capire come agiscono i cybercriminali.

Molto spesso, l’unica mossa del criminale informatico è l’acquisto di database contenenti username e password di migliaia di utenti sul dark web: nella parte oscura e non indicizzata di Internet, infatti, sono spesso venduti i dati degli utenti in formato database.

Se utilizzi la stessa password da anni, su più account e per diversi servizi, è molto probabile che le tue credenziali di accesso siano già in vendita sul dark web.

Ma se, al contrario, hai la buona abitudine di cambiare password e di utilizzare credenziali differenti per differenti account, allora i cybercriminali che vogliono violare il tuo account dovranno necessariamente decifrare la tua password.

Per fare ciò, purtroppo, i criminali informatici hanno a disposizione un numero elevatissimo di malware e software malevoli, alcuni dei quali mettono a rischio la cybersecurity a causa del fatto che sono davvero molto subdoli.

Altre volte, l’attacco parte a mezzo di phishing: i cybercriminali ingannano in questo modo gli utenti inviando un messaggio (di solito via e-mail) in cui si spacciano per un’altra persona o per un’istituzione e, con differenti stratagemmi, inducono l’utente a fornire le proprie credenziali.

Cybersecurity e password: ecco la combinazione più efficace!

Ora che siamo in grado di riconoscere, a grandi linee, un attacco informatico, cerchiamo di capire come possiamo creare una password complessa al punto giusto, che possa garantire una cybersecurity pressoché totale.

Il segreto per difendersi al meglio dai cybercriminali è infatti creare una password sicura e abbastanza complessa, seguendo dei semplici accorgimenti.

Per prima cosa, una password a prova di attacco informatico ha una lunghezza abbastanza elevata: anche se spesso la maggior parte degli account possono essere creati con password lunghe otto caratteri, si tratta di password troppo deboli.

La lunghezza minima consigliata per una password sicura è di almeno quindici caratteri: e con “almeno” intendiamo dire che tanto più lunga sarà la tua password, quanto più sarà difficile da violare.

Altra tecnica che permette di creare password a prova di attacco è quella che prevede l’utilizzo di mix di caratteri differenti, numeri e simboli.

La tua password, insomma, dovrà contenere caratteri numerici, lettere maiuscole e, se la piattaforma lo rende possibile, anche dei simboli.

Più tipologie differenti di caratteri e simboli utilizzerai, più la tua password sarà forte.

Per una password forte, poi, bisognerebbe evitare di essere scontati: bandite le lettere sequenziali o le sequenze progressive di numeri, dato che sono queste le tipologie di password che vengono di solito indovinate più facilmente dai cybercriminali.

Per la stessa ragione, bisognerebbe evitare di inserire il proprio nome o la propria data di nascita all’interno della propria password.

Assolutamente da bandire, infine, password composte da singole parole, in quanto anche questa tipologia di password viene facilmente carpita dai cybercriminali.

Se hai intenzione di utilizzare delle parole come password, la soluzione è una sola: utilizzare una passphrase.

Password in forma passphrase garantiscono la cybersecurity

Uno dei metodi migliori per scegliere una password sicura che garantisca la tua cybersecurity è utilizzare una passphrase.

Quando parliamo di passphrase, in parole semplici intendiamo una serie di parole che formano una frase, da utilizzare per l'autenticazione; una passphrase è molto più lunga delle tradizionali password, ma può essere più facile da ricordare, mentre sarà sicuramente molto più difficile da violare per i cybercriminali.

Se una tradizionale password sicura può essere composta da quindici o più caratteri, alcune passphrase raggiungono una lunghezza di centinaia di caratteri, a seconda del livello di cybersecurity che si vuole garantire ed alla tipologia di account da difendere.

Ovviamente, sarà necessario utilizzare delle frasi con più parole, che non siano comuni e scontate, altrimenti potrebbero essere facilmente identificabili dal cybercriminale.

Una passphrase molto sicura conterrà caratteri sia maiuscoli che minuscoli, un numero variabile di parole, possibilmente in lingue diverse: più la frase è complessa, maggiore sarà il grado di cybersecurity garantito da questo tipo di password.

Ricorda però che la tua passphrase dovrebbe essere facile da ricordare per te, altrimenti rischierai di non riuscire più ad accedere al tuo account.

Per aggiungere complessità alla tua passphrase, infine, puoi anche aggiungere, come nel caso delle password tradizionali, sia caratteri speciali che caratteri numerici.

Cybersecurity e generatori causali di password

Fino ad ora abbiamo parlato di password e passphrase create dagli utenti stessi.

Ma dato che la maggior parte degli utenti possiedono decine di account differenti, e dal momento che sarebbe opportuno creare e utilizzare una password diversa per ogni account, la fantasia dell’utente potrebbe venir meno.

Infatti, ogni utente che tiene davvero alla propria cybersecurity e non vuole rischiare di essere vittima di attacco informatico dovrebbe pianificare il cambio delle proprie password frequentemente, anche più volte l’anno. La frequenza ottimale di cambio password è di circa tre mesi, in modo da garantire la sicurezza dei propri account anche in caso di violazione.

Insomma, potrebbe essere difficile per te creare regolarmente decine di differenti password, una per ogni account: bisogna riconoscere, infatti, che modificare e creare nuove password sarebbe un lavoro davvero enorme, nel caso di dover creare di sana pianta nuove password per molti account.

Niente paura, comunque: esistono infatti numerosi tool appositi, che permettono di generare causalmente delle password forti con cui sarà difficile violare la tua cybersecurity.

Ad esempio, Roboform permette agli utenti di generare le proprie password con un semplice click: basta scegliere le caratteristiche desiderate per la password, decidendo se inserire o meno i caratteri speciali, i numeri e le maiuscole.

Il tool permette anche all’utente stesso di scegliere la lunghezza della password, anche se il numero di caratteri consigliato è sedici.

Altro generatore di password casuali molto semplice da utilizzare è quello messo a disposizione da Avast: simile al generatore precedente, permette all’utente di impostare tutti i parametri desiderati.

Cybersecurity oltre la password: l’autenticazione a più fattori

Esistono, comunque, dei casi in cui un particolare account potrebbe necessitare di un maggiore livello di protezione.

In questi particolari casi, la password potrebbe non essere sufficiente, neppure nel caso in cui si tratti di una combinazione di caratteri fortissima.

Per garantire un livello di cybersecurity maggior puoi, ove possibile, utilizzare un ulteriore livello di protezione, rappresentato dall’autenticazione a più fattori.

Con “autenticazione a più fattori” intendiamo un metodo di autenticazione che richiede all’utente che sta effettuando il login due o più fattori di verifica, in modo da garantire che l’utente che sta cercando di effettuare l’accesso sia il reale proprietario dell’account.

Attivando l’autenticazione a due o più fattori, infatti, se un cybercriminale dovesse violare la tua password, avrebbe comunque difficoltà di accesso al tuo account, in quanto per potervi entrare gli verrà richiesto un ulteriore fattore (o anche più) oltre alla password in su possesso.

L’autenticazione a due fattori, dunque, è pensata per ridurre le probabilità che un attacco informatico vada a segno.

Di solito, l’autenticazione a più fattori di verifica utilizza le OTP, acronimo di One-Time Password: si tratta di vere e proprie password monouso, generate automaticamente ed inviate all’indirizzo e-mail o al numero di cellulare del proprietario dell’account nel momento in cui si stia effettuando un tentativo di accesso.