Il primo febbraio è il “Change Your Password Day 2019”. E per l’occasione gli esperti di Kaspersky Lab hanno diffuso un’agile guida per creare password diverse per ogni servizio, efficaci ma facili da ricordare. “C’è molta confusione riguardo a cosa si debba intendere quando si parla di password ‘forte’”, spiega David Jacoby, ricercatore di Kaspersky Lab. “Molti siti web richiedono ora l’inserimento di sequenze complesse, composte da almeno otto o più lettere minuscole o maiuscole, numeri e anche caratteri speciali. Gli utenti sono arrivati a considerare questo tipo di combinazione come ‘password forte’, e questo è piuttosto scoraggiante”. In realtà, prosegue Jacoby “le password generalmente ‘forti’ sono quelle uniche, per un utente e per un account”. Ma come crearle? E come ricordarle?
Hacker
Una password in quattro passi
Primo passo: creare una parte di password che resta sempre uguale. A patto che non sia facilmente leggibile. NomeCognome non è certo a prova di bomba, anche se arricchita da altri caratteri. Per creare una base forte, Kaspersky suggerisce tre passaggi.
Primo: “Pensare ad una frase, al testo di una canzone, alle citazioni di un film, ad una filastrocca o a qualcosa di simile, che sia facile da ricordare”.
Secondo: “Prendere la prima lettera delle prime tre o prime cinque parole”.
Terzo: “Aggiungere, tra una lettera e l’altra, un carattere speciale (ad esempio: #, @, / e simili)”. Adesso, è possibile basare tutte le proprie password uniche su questa singola stringa di caratteri.
Attenzione però, costruire una sola password, per quanto “forte”, non basta. “Il pericolo più grande – sottolinea la società di cybersecurity – è legato al riutilizzo”. Perché il furto di una sola chiave aprirebbe tutte le vostre porte. Ecco allora come differenziare le password senza chiedere troppo alla nostra memoria.
Quarto: Prendete la stringa base e “annotate la prima parola che si associa al sito o alla piattaforma” cui accedere. “Se si sta creando una password per l’account di Facebook – suggerisce Kaspersky – si potrebbe associare al social media il colore blu, presente nel logo. Basterebbe, quindi, aggiungere la parola ‘blu’”. Ma si tratta sempre di una parola basata su un’associazione di idee soggettiva (ed è proprio questa la sua forza).
Leggi anche: Cambiate le password, Collection #1 è il più grande furto di email della storia
Un esempio
David Jacoby fa un esempio concreto. Parte da una famosa ninna nanna inglese: “Twinkle Twinkle Little Star, How I wonder What You Are”. Prende le iniziali delle prime cinque parole, le intervalla con un cancelletto, e aggiunge il colore tipo di Facebook. Risultato: T#T#L#S#Hblu. Per altre piattaforme basterebbe cambiare l’ultima parola. “Se qualcuno ci consegnasse questa password, o se la guardassimo dal di fuori, non avrebbe alcun significato. Si tratta però di qualcosa di personale per chi l’ha creata, sarà facile per l’autore riconoscere il sistema usato per la sua creazione, associare la parola al sito e ricordare così facilmente la giusta combinazione”.
La forza è l’unicità
“Creare nuove chiavi di accesso è sempre più difficile – spiega Kaspersky – anche perché le persone, oggi, hanno sempre più account da gestire. Se si creano password semplici e facili da ricordare, il rischio che un utente malintenzionato riesca a craccarle è maggiore. Se si opta per una sequenza di caratteri più complessa, invece, è probabile che l’utente stesso fatichi a ricordarla. Quindi è molto probabile che ci si limiti a una o due combinazioni e che si scelga poi di utilizzarle per più siti web. Una scelta spesso fatale, perché la forza della password “dovrebbe essere basata non tanto sulla complessità della sequenza di caratteri, quanto sulla sua unicità”.
La strada fa fare per insegnare questi principi elementari di igiene informatica è lunga. Le chiavi d’accesso più diffuse e (non a caso) bersagliate al mondo sono “123456”, “password” e “123456789”.
Se avete correzioni, suggerimenti o commenti scrivete a dir@agi.it.
Se invece volete rivelare informazioni su questa o altre storie, potete scriverci su Italialeaks, piattaforma progettata per contattare la nostra redazione in modo completamente anonimo.