Come verificare quanto è sicura la mia password

Ultimamente ho subito il furto della password di un indirizzo email ed a catena l’accesso a diversi servizi online. Se un hacker ruba la password della vostra casella di posta elettronica con i servizi di recupera password poi riesce a rubare anche tutti gli account collegati, se non protetti con altri sistemi tipo accesso a due fattori.

Purtroppo il mio account di posta (che adesso ho cambiato) non prevedere l’accesso a due fattori e la password che io pensavo abbastanza sicura non lo era affatto.

Per questo vi invito a verificare la sicurezza della password della vostra email e di tutti i servizi che usate seguendo questi consigli ed i tool di verifica che vi descrivo più avanti.

La password è una delle chiavi più importanti per proteggere la nostra privacy e i nostri dati online. Ma come possiamo sapere se la nostra password è abbastanza sicura da resistere agli attacchi dei hacker? Esistono alcuni criteri e strumenti che possiamo usare per verificare la sicurezza della nostra password e migliorarla se necessario. In questo articolo vedremo:

• Quali sono le caratteristiche di una password sicura
• Come calcolare la forza di una password
• Quali sono i metodi più comuni usati dai hacker per violare le password
• Come scegliere e gestire le password in modo sicuro
• Quali sono i migliori strumenti online per testare la sicurezza delle password

Quali sono le caratteristiche di una password sicura

Una password sicura è una combinazione di caratteri che non è facile da indovinare o da scoprire con metodi automatici. Alcune delle caratteristiche che rendono una password sicura sono:

• Lunghezza: una password dovrebbe essere almeno di 8 caratteri, ma preferibilmente di 12 o più. Più è lunga, più è difficile da violare.
• Complessità: una password dovrebbe contenere una varietà di caratteri, tra cui lettere maiuscole e minuscole, numeri, simboli. Questo aumenta il numero di possibili combinazioni che un hacker deve provare per trovare la password.
• Unicità: una password dovrebbe essere diversa per ogni sito o servizio che usiamo. Se usiamo la stessa password per più account, basta che uno di essi venga compromesso per mettere a rischio tutti gli altri. Leggi qui per sapere come avere una password diversa per ogni sito facilmente memorizzabili
• Casualità: una password dovrebbe essere generata in modo casuale, senza seguire schemi prevedibili o usare parole comuni, nomi, date o informazioni personali. Questo rende più difficile per un hacker indovinare la password basandosi su indizi o su dizionari di parole.

Come calcolare la forza di una password

La forza di una password è una misura di quanto tempo ci vorrebbe per un hacker per violarla usando un metodo di forza bruta, ovvero provando tutte le possibili combinazioni di caratteri fino a trovare quella giusta. La forza di una password dipende dal numero di caratteri che la compongono e dal numero di caratteri possibili che si possono usare. Per esempio, se usiamo solo lettere minuscole, il numero di caratteri possibili è 26. Se usiamo anche lettere maiuscole, il numero sale a 52. Se aggiungiamo anche numeri, il numero diventa 62. Se includiamo anche simboli, il numero può arrivare a oltre 90.

Per calcolare la forza di una password, possiamo usare la formula seguente:

Forza = log2(N^L)

Dove N è il numero di caratteri possibili e L è la lunghezza della password. Il risultato è espresso in bit, che sono le unità di misura dell’informazione. Più bit ha una password, più è forte. Per esempio, una password di 8 caratteri che usa solo lettere minuscole ha una forza di:

Forza = log2(26⁸) = 37.6 bit

Mentre una password di 12 caratteri che usa lettere, numeri e simboli ha una forza di:

Forza = log2(90¹²) = 78.8 bit

La forza di una password ci dice quanto tempo ci vorrebbe per violarla con un computer che prova un certo numero di tentativi al secondo. Per esempio, se un computer prova 10 miliardi di tentativi al secondo, ci vorrebbero circa:

• 2 minuti per violare una password di 37.6 bit
• 3.5 milioni di anni per violare una password di 78.8 bit

Ovviamente, questi sono solo valori teorici, che non tengono conto di altri fattori che possono influenzare la sicurezza di una password, come la qualità del sistema di crittografia, la presenza di misure di protezione aggiuntive o la possibilità di usare metodi più sofisticati di forza bruta.

Come testare una password

Ho testato una password di 8 caratteri, con simboli, lettere maiuscole e minuscole, su alcuni tools di verifica password. La ipotetica password scelta è A%Grav12 che a prima vista sembra abbastanza sicura (a parte quel 12 finale). I risultati sono stati questi:

• password.kaspersky.com Password troppo corta
• Roboform.com Media
• Nordpass.com MODERATA Tempo necessario per decifrare la tua password:3 ore
• Digitale.co Corta 8 Ore per decifrare la tua password.
• Security.org Corta 8 Ore per decifrare la tua password.
• Safepasswordtool.org Corta indovinabile

Il responso non è stato molto felice, nonostante la password a prima vista sembri solida. Il problema maggiore è la lunghezza. A quanto pare 8 caratteri non sono abbastanza.

Allora ho provato sugli stessi servizi la password A%Grav12-Her 12 caratteri con un altro simbolo, un’altra lettera maiuscola e altre minuscole. In questo caso i risultati sono stati:

• password.kaspersky.com Ottima password!
• Roboform.com Buona
• Nordpass.com SICURA Tempo necessario per decifrare la tua password:3 anni
• Digitale.co Un computer ha bisogno di circa 34 Mila Anni per decifrare la tua password.
• Security.org Un computer ha bisogno di circa 34 Mila Anni per decifrare la tua password.
• Safepasswordtool.org Forte, niente da migliorare

A parte la differenza di valutazione dei vari siti A%Grav12-Her è una password sicura. Resta il problema di ricordarsi una password così fatta diversa per ogni sito che utilizziamo. Per questo uso un password manager.

Quali sono i metodi più comuni usati dai hacker per violare le password

Oltre al metodo di forza bruta, che consiste nel provare tutte le possibili combinazioni di caratteri, gli hacker possono usare altri metodi per violare le password, tra cui:

• Il metodo del dizionario, che consiste nel provare parole comuni o frasi fatte, eventualmente modificate con l’aggiunta o la sostituzione di caratteri. Per esempio, una password come “password” o “qwerty” è molto facile da violare con questo metodo.
• Il metodo dell’ingegneria sociale, che consiste nel sfruttare le informazioni personali o le abitudini dell’utente per indovinare la password o per convincerlo a rivelarla. Per esempio, un hacker potrebbe usare il nome del cane, la data di nascita o il film preferito dell’utente come possibili password, oppure potrebbe inviare una falsa email o un falso messaggio che richiede di confermare o cambiare la password.
• Il metodo del phishing, che consiste nel creare una pagina web o un’applicazione che imita quella di un sito o di un servizio legittimo e che richiede all’utente di inserire la sua password. Se l’utente cade nella trappola, l’ hacker può rubare la password e usarla per accedere al vero sito o servizio.
• Il metodo del keylogging, che consiste nel installare un software o un dispositivo che registra i tasti premuti dall’utente sulla tastiera e che li invia al hacker. In questo modo, l’ hacker può catturare la password quando l’utente la digita.
• Il metodo del cracking, che consiste nel sfruttare una vulnerabilità del sistema di crittografia o di memorizzazione delle password per ottenere le password in chiaro o in forma di hash, ovvero di codici alfanumerici che rappresentano le password. l’hacker può poi usare un programma apposito per confrontare gli hash con quelli di un dizionario di password note o generare le password corrispondenti agli hash.

Come scegliere e gestire le password in modo sicuro

Per scegliere e gestire le password in modo sicuro, possiamo seguire alcuni consigli pratici, tra cui:

• Usare una password diversa per ogni sito o servizio che usiamo, in modo da limitare i danni in caso di violazione di uno di essi.
• Usare una password lunga, complessa, casuale e unica, che non contenga parole comuni, nomi, date o informazioni personali, e che usi una varietà di caratteri, tra cui lettere, numeri, simboli e spazi.
• Usare un generatore di password online o offline, che crea password sicure in modo casuale, seguendo i criteri che impostiamo.
• Usare un gestore di password online o offline, che memorizza e protegge le nostre password con una password principale, che è l’unica che dobbiamo ricordare. Il gestore di password ci permette anche di accedere ai siti e ai servizi senza dover digitare le password ogni volta. Alcuni esempi di gestori di password online sono LastPass, Roboform, 1Password
• Cambiare le password regolarmente, soprattutto se sospettiamo che siano state compromesse o se abbiamo ricevuto una notifica di violazione da parte di un sito o di un servizio che usiamo.
• Non condividere le password con nessuno, nemmeno con persone di fiducia, e non scriverle su fogli di carta, su file di testo o su email.
• Non usare la stessa password per l’email, per i social network, per i servizi bancari o per altri siti o servizi sensibili, in quanto questi sono i bersagli più frequenti e appetibili dei hacker, che potrebbero accedere ai nostri dati personali, finanziari o professionali, e usarli per scopi illeciti, come il furto di identità, la truffa, il ricatto o il sabotaggio.