Digitare una password per accedere a una delle decine o centinaia di servizi che utilizziamo è diventato un elemento talmente quotidiano della nostra vita che raramente ci pensiamo due volte. Spesso cerchiamo di mantenere le nostre password semplici e facili da ricordare, in modo da poter superare rapidamente l'accesso e dedicarci alle cose importanti. Questo è solo uno dei tanti errori che commettiamo quando si tratta di qualcosa su cui facciamo affidamento per proteggere una parte della nostra identità digitale.
Ecco i cinque errori più comuni che potreste commettere quando si tratta di password.
1) Riciclaggio delle password
Uno degli errori più comuni e diffusi è il riciclaggio delle password. Il problema spesso inizia con la creazione della password stessa. Il più delle volte si creano password facili da ricordare, il che di solito significa che sono brevi e semplici, anche se ormai la maggior parte dei servizi prevede requisiti di lunghezza minima e tipi di caratteri da includere.
Una volta memorizzata la password e dopo aver effettuato l'iscrizione a un altro servizio, e a un altro, e a un altro ancora, non vogliamo doverne ricordare un'altra, e un'altra, e un'altra ancora, quindi riutilizziamo la password che abbiamo già memorizzato. Secondo un sondaggio di Google, il 52% degli intervistati riutilizza la stessa password per più account, mentre un sorprendente 13% usa la stessa password per tutti i suoi account. Anche la sostituzione delle lettere con i numeri o delle lettere minuscole con quelle maiuscole e viceversa è considerata riciclaggio di password, anche se alcuni potrebbero considerarla un leggero miglioramento.
Il problema più grave del riciclaggio delle password è che si espone al credential stuffing. Si tratta di un attacco di account takeover che sfrutta i bot per martellare i siti con tentativi di accesso utilizzando credenziali di accesso rubate da violazioni di dati in altri siti fino a quando non si imbattono nella giusta combinazione di nuovo sito e "vecchie" credenziali. Come si vede, diversificare le password è nel vostro interesse.
2) Creare password semplici
Come abbiamo già detto, molti problemi iniziano quando vengono create le password. Quelle semplici tendono a essere le più diffuse. Forse avete visto il film Wrongfully Accused, dove Leslie Nielsen tenta di violare un computer indovinando le credenziali di accesso, che si rivelano semplicemente Login e Password.
Se pensate che nella vita reale le persone siano più attente alla scelta delle password, purtroppo vi sbagliate. Un elenco compilato annualmente dimostra che quando si tratta di password, le persone fanno scelte discutibili, con 12345 e password nella top five delle password più popolari.
Oltre a semplici schemi e parole ovvie, un errore frequente che si commette quando si creano le password è quello di incorporare nella password dettagli della nostra vita personale che possono essere facilmente indovinati o trovati. Sei adulti statunitensi su dieci hanno inserito nella password un nome (proprio, del coniuge, dei figli o dell'animale domestico) o un compleanno.
Idealmente, il passaggio a una passphrase forte è preferibile all'uso di una password. Se possibile, si dovrebbe attivare anche l'autenticazione a due fattori (2FA), che aggiunge un ulteriore livello di sicurezza contro vari tipi di attacchi volti a rivelare le credenziali di accesso.
3) Memorizzare le password in chiaro
Un altro errore frequente è quello di scrivere le nostre password. Questo avviene in due modi: annotandole su carta o su foglietti adesivi, oppure salvandole in fogli di calcolo o documenti di testo sul computer o sullo smartphone. Nel primo caso, a meno che il malintenzionato non voglia aggiungere l'effrazione al proprio curriculum, non c'è modo di accedervi.
Questo non significa che dobbiate scriverli o tenerli in giro; se lo fate (ma non fatelo!), dovrebbero essere più che altro dei suggerimenti che vi aiutano a ricordare e dovrebbero essere conservati in un luogo sicuro da occhi indiscreti. Nel caso in cui le memorizziate sui vostri dispositivi, dovrete affrontare una serie di sfide. Se gli hacker violano il vostro dispositivo e vi rovistano dentro, avranno accesso, con uno sforzo minimo, a un'intera serie di dati sensibili, comprese le password che avete memorizzato in chiaro.
In alternativa, se il vostro dispositivo viene compromesso da un malware che copia i vostri dati e li invia a un server remoto, un malintenzionato può accedere a tutti i vostri account prima che possiate accorgervene. Oppure, in alcuni casi, può semplicemente esaminare il dispositivo con un pettine a denti stretti per vedere se riesce a trovare qualsiasi dato sfruttabile, compreso il file con le password. È sufficiente dire che memorizzare le password in chiaro su qualsiasi dispositivo connesso è una pessima idea.
4) Condividere le password
L'espressione "condividere è importante" si applica a molti settori della vita, ma le password sono un'eccezione. Eppure c'è chi non è d'accordo, come il 43% degli intervistati statunitensi che ha ammesso di aver condiviso le proprie password in passato con qualcun altro. Tra queste figurano le password di servizi di streaming, account di posta elettronica, account di social media e persino account di acquisti online. Oltre la metà di loro ha dichiarato di aver condiviso la propria password con il proprio partner. Sebbene la condivisione della password di un account di un servizio di streaming sia un fenomeno diffuso, è meno pericolosa delle altre scelte menzionate.
Quando si condivide la password con qualcun altro, la sicurezza del proprio account precipita pericolosamente, dal momento che si è perso il controllo su di essa. Non potete essere sicuri di come verrà gestita e se la persona a cui l'avete affidata non la condividerà con qualcun altro. Molto dipende da come avete condiviso la password: l'avete digitata per loro nel vostro account e l'avete salvata? Oppure gliel'avete inviata via e-mail o tramite un'app di messaggistica istantanea in forma di testo semplice? In quest'ultimo caso, siete alla mercé della loro discrezione e dovete sperare che i loro dispositivi siano sicuri, poiché abbiamo discusso le implicazioni del salvataggio di una password in chiaro nella sezione precedente.
Un'altra cosa importante da ricordare è che se avete condiviso la vostra password su tutte le piattaforme di comunicazione che utilizzate, le persone con cui l'avete condivisa possono rovinare le vostre relazioni, siano esse di lavoro o personali, poiché ora possono accedere sotto la vostra identità. Se avete condiviso le vostre credenziali su una qualsiasi piattaforma di shopping online e i vostri metodi di pagamento sono stati salvati, la persona con cui le avete condivise può facilmente accumulare un conto sulla vostra carta di credito, di cui potreste pentirvi. Anche se la persona con cui condividete le vostre credenziali è il vostro coniuge, non è consigliabile tenere tutte le uova in un solo paniere.
5) Cambiare le password periodicamente (senza pensarci troppo)
Alcune organizzazioni obbligano gli utenti a cambiare le password ogni due o tre mesi "per motivi di sicurezza". Ma, contrariamente a quanto si crede, cambiare regolarmente la password - senza che vi siano prove di una violazione della password - non rende automaticamente il vostro account più sicuro o più difficile da violare.
Il professore di informatica della Carnegie Mellon, Lorrie Cranor, afferma che le ricerche dimostrano che quando le persone sono costrette a cambiare la password frequentemente, non ci pensano molto. Inoltre, i ricercatori dell'Università del North Carolina (UNC) hanno scoperto che gli utenti propendono per la creazione di password che seguono schemi prevedibili che chiamano "trasformazioni". Il professor Cranor elenca alcuni esempi: "come l'incremento di un numero, il cambio di una lettera con un simbolo simile (ad esempio, il cambio di una S con un $), l'aggiunta o l'eliminazione di un carattere speciale (ad esempio, il passaggio da tre punti esclamativi alla fine di una password a due), o il cambiamento dell'ordine delle cifre o dei caratteri speciali (ad esempio, lo spostamento dei numeri all'inizio invece che alla fine)". Ha poi aggiunto di aver sentito di esempi in cui gli utenti includono il mese e, in alcune occasioni, l'anno in cui la password è stata cambiata, come soluzione semplice per ricordare questi cambiamenti frequenti.
Questo facilita il lavoro degli hacker che, come hanno dimostrato i ricercatori dell'UNC, una volta conosciuta una password, possono indovinare quella successiva con poco sforzo. Vale anche la pena di notare che, una volta ottenuto l'accesso al vostro dispositivo, i criminali informatici possono installare un keylogger che consente loro di tenere traccia delle vostre password ogni volta che le cambiate. Naturalmente, se sul dispositivo è installata una soluzione endpoint di sicurezza di alto livello, ci sono molte più possibilità che il keylogger venga rilevato e disattivato.