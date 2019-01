In questi giorni, ha fatto il giro del mondo la scoperta dell’esperto di sicurezza Troy Hunt, che ha individuato su un popolare sito di condivisione di file quello che sembrerebbe il più grande archivio di credenziali rubate mai diffuso online: si tratta di un elenco di quasi 800 milioni di email e di password rinominato Collection#1. Questa particolarissima rubrica a uso e consumo del lato oscuro del web non è il frutto di un unico colpo grosso recente, ma raccoglie i risultati di più data breach, come si chiamano in gergo le violazioni informatiche con cui i cybercriminali ottengono l’accesso ai profili degli utenti.

Da tempo Hunt è impegnato a sensibilizzare pubblico e addetti ai lavori sulla questione, attraverso il suo blog e il sito https://haveibeenpwned.com dove si può verificare se il proprio indirizzo di posta elettronica (e quindi i servizi a esso collegati) sia stato immesso nel circuito dei dati rubati. Al di là dello scalpore suscitato da Collection#1, messa a disposizione di chiunque in chiaro, ogni giorno elenchi simili finiscono al centro di compravendite nel mercato nero di internet, di solito all’ombra del cosiddetto dark web.

I sistemi utilizzati dai cybercriminali per entrare in possesso delle credenziali sono i più vari. Si può fare in modo di installare sul dispositivo della vittima un programma ad hoc oppure indurla a rivelare spontaneamente i dati conducendola su un sito fasullo con la tecnica del phishing; esistono poi software che cercano di indovinare le parole chiave provando a immettere in automatico tante combinazioni e, ancora, si possono organizzare attacchi mirati basati sull’ingegneria sociale, senza dimenticare l’eventualità tutt’altro che remota che i malintenzionati abbiano individuato una falla a monte nel sistema di sicurezza del servizio online di cui usufruiamo.

In ogni caso, si sia stati interessati direttamente oppure no dai data breach di Collection#1, questa potrebbe essere l’occasione giusta per cambiare una vecchia password e nel frattempo controllare se i nostri profili digitali sono al passo con quelle che oggi vengono considerate le buone prassi per non esporsi a inutili rischi.

Un elemento da cui cominciare è proprio l’annoso problema della scelta della password. Come evidenziano le periodiche classifiche della parole chiave più frequenti, tra le quali appunto password e l’intramontabile 123456, molti utenti sembra tendano ancora a preferire un codice d’accesso facile da ricordare che non una maggiore protezione da tentativi di intrusione. Per venire considerata sicura una password deve essere necessariamente complessa.

Oggi si ritiene dodici il numero minimo di caratteri da cui partire per impostare una password in grado di resistere o almeno rendere complicata la vita a quei programmi che provano a indovinarla. Sedici caratteri sarebbero già una buona base. A questo punto bisogna capire cosa scrivere. Date e parole di senso compiuto non vanno bene, peggio ancora se contengono riferimenti personali. Attraverso l’ingegneria sociale e ciò che magari più o meno inavvertitamente condividiamo online, a un malintenzionato basta infatti un attimo per conoscere ogni aspetto della nostra biografia, compresi il nome di un animale, una ricorrenza o qualche altro riferimento che potrebbe essere stato usato come parola d’ordine. Invece una password per considerarsi sicura deve essere composta da una sequenza orientativamente casuale di lettere, numeri e simboli, cercando di evitare la ripetizioni degli stessi caratteri e mischiando maiuscole e minuscole. Per farsi un’idea, qualcosa del tipo: FL!8-Zan4m-N^3k%m1e.

Si apre però un’altra questione: come ricordarsi password del genere? Si può provare a trovare uno schema che aiuti a memorizzare sequenze anche molto complesse, ma il metodo più comodo è affidarsi ai cosiddetti password manager, programmi che conservano in una sorta di cassaforte virtuale tutte le nostre password ricordandosele all’occorrenza al posto nostro. Un errore comune nel quale cadono parecchi utenti è infatti riutilizzare, per semplicità, la stessa parola chiave per più servizi. In questo modo si viene esposti a ulteriori rischi: da una sola violazione, un criminale otterrebbe potenzialmente l’accesso a tutti i nostri profili. Quindi, anche per minimizzare i danni dell’imponderabile, le password dovrebbero essere sempre univoche, diverse l’una dall’altra e mai condivise.

La complessità di una password comunque rimane un aspetto da cui non si può soprassedere. Piuttosto, come suggerisce del resto anche Hunt, si può tornare a appuntasele su un’agenda, meglio così che ripiegare su qualcosa di facile, perché ciò che è facile per noi lo è anche per i malintenzionati. Ovviamente, bisogna pensare di conservarne le classiche due copie, in due luoghi sicuri differenti, per evitare che le password vadano perse, oltreché mascherarle un po’, affinché agli occhi di uno sconosciuto non siano riconducibili immediatamente a un profilo online.

Fatta la password siamo a metà dell’opera. Perché per mantenere una password sicura si deve mettere in conto di cambiarla periodicamente. Qualche tempo fa si diceva che una parola chiave andasse sostituita con una nuova indicativamente una volta al mese, ma la questione oggi è dibattuta. Senza dubbio cambiare password spesso aiuta a proteggersi da eventi come i data breach di Collection#1, siccome le informazioni raccolte dai criminali hanno un lasso di utilità breve e, anzi, corrono il rischio di venire diffuse quando ormai appaiono già superate. D’altro canto il pericolo evidenziato dagli esperti di sicurezza è che modificare a ritmi serrati le proprie password, oltre a occupare molto tempo, offra il fianco alla solita criticità, ossia la tendenza a semplificare le sequenze alfanumeriche delle parole chiave per non complicarsi troppo la vita.

Ultimamente viene quindi attribuita maggiore importanza all’aggiunta di più livelli di protezione tramite in primis la cosiddetta verifica in due passaggi, che andrebbe attivata sempre, non solo per le email ma per tutti i servizi online. Funziona offrendo un ulteriore scudo: per accedere alla propria identità non basta conoscere la password ma bisogna confermare l’operazione per mezzo di un codice temporaneo su un dispositivo autorizzato, per esempio via app o sms sul telefonino.