World Password Day, una giornata per la sicurezza online
Una giornata mondiale, pensata per ricordare a tutti l’importanza della sicurezza online: il World Password Day, che cade ogni anno il primo giovedì di maggio. Per chi non lo sapesse, si tratta di una mirata a sensibilizzare alla creazione di password complesse e uniche per tutelare le informazioni sensibili.
Le password sono, di fatto la prima (e spesso l’unica) linea di difesa e di autenticazione per l’accesso a ogni tipo di piattaforma. L’utilizzo di queste parole di sicurezza è, obiettivamente, ai massimi storici: quasi tutto ciò che usiamo online richiede una forma di accesso e riconoscimento.
Ciononostante, recenti studi internazionali sulla cybersicurezza hanno dimostrato che ci sono ancora delle grosse lacune da parte degli utenti. Lacune che, purtroppo, portano a combinazioni deboli favorendo l’accesso a varie credenziali.
La storia e gli obiettivi del World Password Day
Il World Password Day nasce da un’idea del security researcher Mark Burnett. L’esperto informatico ha fatto delle password e della loro affidabilità il nucleo del suo lavoro. Nel 2005, ha pubblicato il libro Perfect Password sostenendo l’importanza di una giornata dedicata al loro livello di sicurezza.
Muovendosi su quanto suggerito da Burnett, Intel Security ha effettivamente lanciato l’iniziativa a maggio 2013, scegliendo una data variabile, ovvero il primo giovedì del mese. Il fatto che non cada mai nello stesso giorno è un modo per suggerire la variazione anche nelle abitudini quotidiane di sicurezza.
Di fatto, le prime edizioni sono un po’ cadute a vuoto. Così, nel 2015, Mark Burnett è tornato a farsi sentire con un gesto eclatante. Ha rilasciato un torrent contenente ben 10 milioni di password reali e nomi utente, relativamente anonimi, ricavate da diversi siti web.
Burnett ha spiegato che si trattava di password talmente tanto semplici da essere rilevabili con un semplice sforzo. Gli è bastato usare in maniera sapiente i motori di ricerca e fare una serie di associazioni basiche. E proprio come ci era riuscito lui, poteva riuscirci qualsiasi malintenzionato anche minimamente preparato in materia.
Ciò ha colpito nel segno in due sensi. In primis ha dato una scossa a molti siti web, che hanno iniziato a guardare con più attenzione alla crittografia. Poi ha sensibilizzato (un po’ di più) gli utenti, ma di fatto, per quanto possa sembrare strano, sono proprio gli utenti a essere più disattenti.
Dal 2015 in poi, dunque, il World Password Day si pone come giornata di riflessione per spingere tutti coloro che usano il web a usare tecnologie e combinazioni all’avanguardia.
Gli errori comuni delle password sul web
Non solo. Il World Password Day vuole anche sensibilizzare sulle abitudini scorrette degli utenti durante il percorso di selezione e impostazioni delle password. La quasi totalità degli utenti, per esempio, tende a ragionare in maniera sbagliata, pensando di essere originale o poco individuabile.
In realtà, complice la password fatigue (una sorta di blocco mentale che impedisce di memorizzare tante password contemporaneamente) e la velocità con cui, ogni giorno, ci si muove sul web, moltissimi utenti si lasciano andare e rendono molto fragili le loro combinazioni.
Per essere più chiari, gli errori più comuni nella scelta della password sono:
- Pochi caratteri: attualmente, il numero minimo per una password sicura è di 14 caratteri;
- Password facilmente memorizzabili: paradossalmente, più è facile memorizzare una password più questa sarà debole;
- Riferimenti a date personali: compleanni, anniversari ed eventi speciali rientrano ancora tra le password più utilizzate e vengono rubate facilmente;
- Usare la stessa password per ogni account/piattaforma;
- Usare delle domande di sicurezza/scorciatoie deboli per il riconoscimento della password.
I consigli per una password davvero efficace
A fronte degli errori succitati, dunque, quali sono i consigli e le best practices per una password perfetta? In primis, creare da zero una password forte seguendo una combinazione di:
- Lettere maiuscole e minuscole (e non solo la maiuscola iniziale);
- Punteggiatura e simboli, possibilmente non comuni;
- Numeri che non abbiano un senso (no date);
- Uso di più parole anche non necessariamente correlate.
In generale, gli esperti suggeriscono l’uso di generatori di password. Inoltre, consigliano di annotare le password in questione su file conservati su dischi e supporti esterni rispetto ai device d’uso comune.
Coloro che, però, proprio non digeriscono l’uso del generatore di password possono “semplicemente” ricordare di usare una password forte per ogni account/piattaforma (dunque non usarne una sola per tutti).
L’ideale sarebbe scegliere, più che delle password, delle passphrase facili da ricordare. Tuttavia, le passphrase non devono mai essere informazioni reperibili sui social media (motti, citazioni, versi di canzoni). Gli esperti suggeriscono, infine, di impostare, quando possibile, un’autenticazione a due fattori.
