Quando pensiamo alle password ed alla sicurezza, la prima cosa a venirci in mente è sicuramente la complessità: codici composti di numeri e di lettere difficili da decifrare ci sono sempre stati consigliati come i più sicuri. Le linee guida del NIST (National Institute of Standards and Technology) invece hanno stravolto queste convinzioni.
Secondo il NIST, una delle minacce online più probabili è quella di essere derubati delle proprie credenziali: queste azioni criminali sono molto diffuse e possono essere ricondotte soprattutto alla vulnerabilità delle password.
Linee Guida del NIST
- Cambi frequenti
A differenza di quanto sottolineato ripetutamente dagli esperti, cambiare la password con frequenza regolare non aumenta la sicurezza dei nostri account e dei nostri dispositivi: questa tecnica invece, secondo il National Institute of Standards and Technology, faciliterebbe gli attacchi di hacker e cyber criminali.
Nel corso dei test condotti dal NIST si è scoperto infatti che una password modificata di continuo è in realtà più facile da rubare rispetto a una che ha subito meno cambiamenti; si tratta di un vero stravolgimento delle credenze degli utenti e anche un aspetto che le imprese dovranno cominciare a tenere in considerazione. - Password complesse
Dalla ricerca del NIST è emerso inoltre che una password molto difficile da decifrare, non necessariamente assicura una maggiore protezione per dispositivi e account: sarebbe quindi inutile cercare di inventare credenziali composte da numeri e lettere senza un apparente legame logico tra loro.
I ricercatori hanno anche stabilito che gli utenti, quando venivano costretti a scegliere dei simboli o dei numeri, si affidavano quasi sempre agli stessi: i più usati sono i numeri 1,2 e 3 e il punto esclamativo. Gli hacker, conoscendo questa tendenza, sono spesso riusciti a rubare password, anche complesse. - Bloccare le password semplici
Il NIST ha consigliato a sviluppatori, imprese ma anche a privati, di bloccare di default l’inserimento di una password troppo semplice: “password” o “1234”, per fare degli esempi.
Ha suggerito peraltro di creare una lista universale delle password più usate e di bloccarle per la creazione e l’accesso ad account e profili social, ritenendo che, così facendo, una buona parte dei furti di credenziali verrebbe eliminata.
Come proteggere i propri dati
Come possiamo proteggere i nostri dati personali utilizzando le password nel modo corretto?
Il NIST consiglia di associare sempre alla password un secondo fattore di verifica e di usare quindi l’autenticazione a due fattori. I più consigliati sono i messaggi inviati al telefono oppure la notifica a un “dispositivo indossabile” (come gli smartwatch). Ad oggi quasi tutti i servizi della Rete prevedono la possibilità di attivare questa funzione. Con il sistema di verifica a due fattori creare password diverse o complicate non sarà più un problema perché senza il nostro telefono (o in generale senza il secondo fattore) nessun hacker potrà mai accedere ai nostri dati.
Fonte: federprivacy.it