Non usate "password" come password (E scaricate l'eBook gratis sulla sicurezza)

Prima o poi, in ufficio capita di dover inserire una nuova password in uno dei servizi dei quali abbiamo un accesso. E di solito capita all’improvviso, magari perché il responsabile IT ha deciso che la password della posta va cambiata… oggi! E così, colti alla sprovvista, nella maggior parte dei casi inseriamo il primo termine che ci viene in mente.

Se abbiamo fortuna, il software ci inviterà a usare una password più lunga, o con maiuscole e minuscole, o contenente anche dei numeri o dei caratteri speciali; ma molti servizi non ci faranno questo favore, e ci lasceranno usare una password facile da indovinare. Gli esperti calcolano che le mille password più comuni (esistono sul Web liste delle password “hackerate”) siano usate da circa il 90% degli utenti Internet.

Ma qual è il problema se qualcuno scopre la vostra password? Beh, dipende ovviamente da quale servizio, e quali dati, la password dovrebbe proteggere. Le conseguenze possono andare da semplici fastidi a veri e propri disastri aziendali. Per esempio, se un collega scopre la vostra password di Windows probabilmente la cosa non comporterà grossi problemi; anzi, spesso la si rivela al collega perché possa sostituirci in caso di nostra assenza.

Ma cosa succede se un dipendente infedele usa la nostra password per creare danni all’azienda usando il nostro PC, per esempio cancellando file importanti, o alterando documenti fiscali, o ancora trafugando progetti per venderli alla concorrenza? Beh, queste operazioni risulteranno eseguite da voi, e la responsabilità (anche legale) sarà vostra, perché è vostro dovere custodire le vostre password. Se poi la password scoperta è quella della posta elettronica, si apre tutto un universo di azioni dannose delle quali potrete essere incolpati: l’intruso potrebbe mandare email offensive ai vostri superiori, o usare il vostro indirizzo per inviare malware a vostro nome, o compiere azioni penalmente rilevanti – per esempio inviare materiale pedopornografico. Individuare a posteriori il vero responsabile delle operazioni criminose è molto difficile, anche perché non è necessario che sia una persona che può accedere fisicamente al vostro computer: un cracker che conosce il vostro indirizzo email può provare a indovinare la password ovunque egli si trovi.

A proposito, non crediate che un cracker si metta a digitare a manina ogni singola password cercando di trovare quella giusta: di solito si usano appositi programmi capaci di provare automaticamente anche 1000 password al secondo. E ovviamente, le prime 1000 saranno quelle dell’elenco cui accennavamo prima. Seguite da tutte le loro variazioni (con maiuscole e minuscole, con lettere sostituite da numeri…). Quindi se usate una password comune, e un cracker decide di scoprirla, non avete difesa. Nel migliore dei casi, se dovesse ricorrere a un cosiddetto “attacco a forza bruta”, ovvero un generatore che prova in sequenza ogni password possibile e ogni permutazione, potrebbe comunque arrivare alla soluzione nel giro di pochi giorni. E se è bravo, l’uso di tecniche sofisticate gli permetterà di abbreviare di parecchio questi tempi.

Come difendersi dunque? Scoprite che cosa fare nell'eBook gratuito "Sicurezza informatica: 10 cose da non fare mai", in download sul mio sito.