Se c’è una cosa che le persone associano alla tecnologia moderna, sono le password. Sono ovunque e la maggior parte di noi li usa per decine di cose ogni giorno. Eppure la maggior parte delle persone è sorprendentemente indifferente alla sicurezza della propria password. Molti di noi probabilmente conoscono qualcuno che utilizza la stessa password per qualunque cosa, dal computer e dall'e-mail a Facebook e ai conti bancari - e quella password potrebbe essere qualcosa di ovvio come il loro compleanno o il nome della strada in cui sono cresciuti. E probabilmente conosciamo anche qualcuno che ha un foglietto adesivo sul lato del monitor etichettato "Password" (in rosso, sottolineato due volte) con un elenco di tutto, da Twitter a Netflix, lasciato allo scoperto per chiunque Leggere.
Queste pratiche potrebbero sembrare qualcosa della generazione dei nostri nonni, ma non è del tutto vero: la settimana scorsa ho guardato un membro a pieno titolo della generazione D che cerca di passare da un Samsung Galaxy S (ehm, Fascinate) a un HTC Rezound tramite il suo notebook computer. Come ha fatto a trasferire tutte le sue password? Aveva un pezzo di carta nel portafoglio con "tutte le sue password" - e via
Tutto lui intendeva tre. Uno per l'e-mail e i social network, uno per l'e-mail della sua prozia ("Lo controllo per lei") e un altro per tutto il resto. Guardandosi alle spalle, tutte e tre erano parole di tutti i giorni: mophandle,borbottatore, E lillian. Indovina qual era quello di sua zia?Video consigliati
Fortunatamente, esistono modi semplici per rendere le password difficili da indovinare e facili da ricordare. Purtroppo, l’industria tecnologica a volte ostacola il loro utilizzo. Ecco una carrellata dei punti deboli più comuni delle password e alcuni modi in cui puoi migliorare le tue password e la tua sicurezza online.
Oscurità contro complessità
Una verità comune sulle password è che dovrebbero Mai essere facile da indovinare. La maggior parte delle persone esperte di tecnologia concorda che nessuno dovrebbe utilizzare i dettagli su se stesso come password: questo include compleanni, indirizzi e nomi di amici e familiari (compresi genitori, fratelli, coniugi, figli e anche animali domestici). Allo stesso modo, parola d'ordine crea una password particolarmente scadente, come tutti gli altri password usa e getta di uso comune.
Questo consiglio sempreverde viene spesso interpretato nel senso che le password dovrebbero esserlo oscuro, o un termine che nessuno penserebbe mai che sceglieresti se avessero un milione di anni. Sì, l'oscuro può funzionare ed è decisamente meglio che scegliere una password ovvia. Tuttavia, una password oscura ti protegge solo dalle persone che sanno qualcosa di te. È probabile che la maggior parte delle persone cerchi di decifrare le tue password non ti conosco.
La maggior parte del cracking delle password non avviene nel modo in cui viene rappresentato nei film, dove Our Hero (o The Villain) si siede davanti a una tastiera, prova una frase o due, si massaggia il mento, poi spia una foto d'infanzia la scrivania. Ah! Digita la parola magica e presto, sicurezza aggirata. Nel mondo reale, la stragrande maggioranza del cracking delle password è automatizzato, letteralmente con i computer lanciando ogni parola nel dizionario (e poi alcune) contro un sistema nella speranza di imbattersi nel termine corretto. Questo approccio può funzionare perché i computer possono provare le password molto più velocemente di quanto gli esseri umani possano digitarle e possono funzionare 24 ore al giorno, sette giorni alla settimana, senza pause per andare in bagno. I cracker automatici di password non sanno nulla degli utenti che stanno cercando di compromettere: è un approccio di forza bruta.
Quindi, risulta che la chiave per una password complessa non è la sua oscurità ma è complessità - cose che rendono meno probabile che venga indovinata da un cracker automatico di password. Tuttavia, creare una buona password complessa significa sapere qualcosa su come le password vengono violate.
Violazione delle password
In termini molto generali, i cracker di password in genere hanno due approcci. Uno è provare letteralmente un elenco precompilato di possibili password. Questi di solito iniziano da password molto comuni (come parola d'ordine O qwerty) e procedono fino ai termini meno comuni, per poi utilizzare un elenco di parole compilato da un dizionario online e da altre fonti. Questo approccio ha maggiori probabilità di trovare password che siano parole valide o varianti di esse, anche se sono oscure.
Un altro approccio per crackare le password consiste nel provare sequenze valide di lettere, numeri e simboli, indipendentemente dal loro significato. Un cracker di password che utilizza questo approccio potrebbe iniziare con aaaaaaaa per una password di otto caratteri, quindi prova aaaaaaab Poi aaaaaaac e così via lungo l'alfabeto, attraverso miscele di maiuscole e minuscole, e inserendo numeri e simboli. Questo approccio ha maggiori probabilità di trovare password “adatte ai computer” o generate in modo casuale. Un passcode come 4De78Hf1 non è più difficile da trovare in questo modo che adolescente sarebbe.
Quindi, quali sono le probabilità che una password venga indovinata? La maggior parte dei sistemi oggigiorno consente agli utenti di creare password utilizzando lettere (maiuscole e minuscole), numeri e una selezione di simboli. I simboli consentiti spesso variano da un sistema all'altro (alcuni consentono quasi tutto, altri ne consentono solo una manciata), ma per i nostri scopi procediamo supponiamo che ciò significhi che ogni carattere in una password può essere uno dei circa 80 valori: due alfabeti di 26 lettere ciascuno, dieci numeri e 18 simboli. (In teoria dovrebbero essere disponibili almeno 127 valori per ogni carattere, ma in pratica è un numero inferiore.)
Utilizzando un approccio puramente di forza bruta, ciò significa che sarebbero necessari un massimo di 80 tentativi per individuare casualmente una password di un carattere. Una password di quattro caratteri potrebbe richiedere oltre 40 milioni di tentativi (80 × 80 × 80 × 80 = 40.960.000) e una password di otto caratteri potrebbe richiedere oltre 1,6 quadrilioni di tentativi (1.677.721.600.000.000).
Se un cracker di password fosse in grado di effettuare 1.000 tentativi al secondo, occorrerebbe circa un mese per eseguire tutte le combinazioni di una password di quattro caratteri e oltre 53.000 anni per eseguire tutte le combinazioni di una password di 8 caratteri. Sembra abbastanza sicuro, vero?
Beh, non proprio. In termini puramente statistici, un cracker ha una probabilità del 50/50 di trovare la password metà quella volta. Cosa ancora più preoccupante, le persone che creano password cracker hanno altri modi per aumentare le loro probabilità. Ricorda come parola d'ordine è stata una delle peggiori password da usare? Indovina qual è anche una pessima password? Password0rd, sostituendo un numero zero con una lettera O. Mentre i password cracker eseguono le loro parole comuni da un dizionario, provano anche varianti comuni su quelle parole, sostituendo gli zeri per le O, i segni @ e i 4 per le A, i 3 per le E, gli 1 e! per le I, i 7 per le T, i 5 per le S e Presto. Allo stesso modo, 0qww294e è una password terribile: è proprio così parola d'ordine spostato di una riga su una tastiera inglese standard. Queste tecniche sfruttano la preferenza degli utenti per password facili da ricordare. Sfortunatamente, sostituendo (o mettendo in maiuscolo) uno o due caratteri in un termine facile da ricordare, la maggior parte delle persone rende le proprie password più oscure, ma non molto più sicure. In effetti, le tipiche password di otto caratteri selezionate dall'utente con caratteri misti, numeri e simboli di solito hanno solo circa 30 bit di entropia, ovvero poco più di un miliardo di combinazioni possibili. Perché? Perché l'elenco dei termini su cui le persone basano la propria password è molto più piccolo del totale delle possibili combinazioni di lettere, numeri e simboli.
Quanto velocemente possono essere violate le password? Provare 1.000 password al secondo potrebbe sembrare impossibile: dopo tutto, la maggior parte dei servizi tende a bloccarci fuori dai nostri account se digitare erroneamente una password tre o quattro volte, spesso reimpostandola e richiedendoci di rispondere a domande di sicurezza per crearne una nuova uno. Queste tecniche “gateway”. Fare migliorano la sicurezza dell'account e, incidentalmente, sono anche un ottimo modo estremamente semplice per infastidire le persone. (Non posso dirti quante volte sono stato bloccato fuori dal mio account iTunes da attacchi con password, ma probabilmente sono più di cento.)
Tuttavia, gli aggressori intenzionati a violare le password non bussano alla porta principale di un servizio tentando (letteralmente) milioni di volte di accedere allo stesso account. Stanno utilizzando metodi di autenticazione meno pubblici che non sono soggetti a blocchi (come un'API privata per partner o app), diffondendo la loro attacchi a un'ampia gamma di account per evitare periodi di blocco o (nella migliore delle ipotesi) applicazione di tecniche di cracking delle password a password rubate dati. La maggior parte dei sistemi crittografa i dati delle password archiviati, ma i file crittografati sono sicuri quanto il sistema stesso. Se gli aggressori riescono a mettere le mani sul file della password crittografato (attraverso una falla di sicurezza, compromesso macchina, o ingegneria sociale, tanto per cominciare) possono attaccarlo molto rapidamente una volta che si trova da solo sistemi. Ecco perché le storie di aggressori che ottengono informazioni sull'account (come Stratfor, Epsilon, Sony, E Zappos) sono preoccupanti. Una volta che i dati crittografati sono stati liberati, gli aggressori possono applicare strumenti molto più potenti per violarli.
Nel mondo reale, ciò significa che la cifra di 1.000 password al secondo è estremamente conservativa. Al giorno d'oggi l'hardware tipico del desktop computing può essere testato milioni di password al secondo rispetto alle comuni tecnologie di crittografia. Allo stesso modo, ora esistono strumenti per il cracking delle password che sfruttano i processori grafici e anche gli operatori criminali di botnet sono nel settore del cracking delle password. Possono distribuire il carico di lavoro su migliaia di computer. Combina questa potenza pura con sofisticate euristiche (come provare varianti di numeri e lettere su parole comuni) e non è insolito decifrare una tipica password utente di otto caratteri in meno di mezzo minuto ora.
Darci la zappa sui piedi
Abbiamo notato sopra come una password di otto caratteri possa, con maiuscole, minuscole, numeri e simboli, avere ben più di a quadrilioni di combinazioni possibili, ma la maggior parte delle password di otto caratteri in uso oggi rientrano in un pool di solo circa un miliardo combinazioni. Questo perché gli esseri umani non sono macchine. Anche dove un computer si accontenta di usarlo tartaruga O Y&4nS0\2 come password, indovina quale è più facile da ricordare per un essere umano? Ora indovina quale è più sicuro.
Alcuni sistemi implementano requisiti per le password intesi a garantire che gli utenti non utilizzino password facilmente crackabili. Un approccio comune consiste nel richiedere che le password utente contengano almeno una lettera maiuscola, un numero, un simbolo e siano lunghe almeno otto caratteri. (Alcuni sistemi non impongono requisiti, ma offrono un indicatore della "forza della password" come misura dell'efficacia che una password potrebbe essere.) Alcuni sistemi richiedono inoltre agli utenti di modificare la propria password di tanto in tanto (ad esempio, ogni 30 o 45 giorni) e impediscono loro di riutilizzarla Le password.
Questo tipo di requisiti Fare aumentano la sicurezza delle password, ma le rendono anche molto più difficili da ricordare. Ciò significa che una parte significativa degli utenti troverà immediatamente modi per sovvertire la sicurezza del sistema per la propria comodità. Certo, alcune persone riescono a gestire password come 9.3nD(# ma molte altre persone risponderanno con foglietti adesivi carichi di password sui lati dei monitor, note nei loro portafogli o un documento Microsoft Word sul desktop etichettato utilmente "Password" in modo che possano copiare e incollare quando necessario. I requisiti per la costruzione della password tendono anche a danneggiare la produttività e ad aumentare i costi di supporto (sia per i dipendenti che per i dipendenti). clienti), poiché sempre più persone dimenticheranno la propria password o verranno bloccate fuori dai propri account, richiedendo la gestione manuale intervento.
Creazione di password complesse
Il Santo Graal delle password sembrerebbe quindi proprio una password complesso abbastanza da rendere poco pratico craccarli utilizzando tecniche automatizzate, ma abbastanza facile da ricordare che gli utenti non compromettono la sicurezza archiviandoli o gestendoli in modo non sicuro.
Ecco alcuni suggerimenti per creare password complesse e facili da ricordare:
- Utilizza password lunghe. Se una password di otto caratteri può avere 1,6 quadrilioni di combinazioni possibili, immagina quante può avere una password di 16 caratteri? (Circa 2,8 nonilioni, o 2,830.) Tuttavia, cosa forse più importante, l'insieme di valori per una password di 16 caratteri utilizzando termini comuni e le variazioni sono poco meno di 1,2 quintilioni, mentre con un formato di otto caratteri era poco più di un miliardo parola d'ordine. L'utilizzo di password più lunghe è il modo più semplice per rendere le password più complesse e più sicure.
- Usa parole combinate. Come rendere le password lunghe facili da ricordare? Una tecnica comune consiste nell'utilizzare una serie da tre a cinque semplici, non correlato termini. Questi sono generalmente facili da ricordare quanto i numeri PIN; a livello cognitivo, le persone tendono a ricordare intere parole come singole unità. Tuttavia, queste password possono essere molto complesse, almeno dal punto di vista del cracking delle password. E queste password sono facili da creare semplicemente guardandosi intorno o sfogliando un libro su una pagina a caso. Guardando a sinistra fuori dalla finestra vedo una rana giocattolo, un'auto e la finestra dell'angolo cottura di qualcuno. Nuova password: FrogCoprimozzoCupboard - sono 18 caratteri, ma solo tre parole da ricordare. Guardando a destra: RunnerCameraGlueString - quattro parole brevi, 22 caratteri. Ho usato solo le lettere maiuscole per aiutare a scomporre le parole. L'aggiunta di più caratteri o sostituzioni può aumentare la complessità: basta non diventare così complesso da cadere preda dei punti deboli delle password difficili.
- Usa frasi o testi. Un altro modo per creare password lunghe è utilizzare parti di frasi o testi. Per quanto riguarda i testi, le canzoni relativamente comuni forse sono migliori di quelle particolarmente importanti per te: ancora una volta, non vuoi persone che ti conoscono bene per poter indovinare le tue password solo perché sei un grande fan di Michael Bolton (o no). Potrebbero essere esempi di password costituite da fasi o testi Tu non sei Jack Kennedy (19 caratteri), iShotaManinReno (15 caratteri), impeepinandimcreepin (20 caratteri).
- Usa i mnemonici. Lo svantaggio delle password lunghe è che possono essere difficili da digitare, soprattutto su un dispositivo mobile. Un altro trucco che alcune persone trovano utile per generare password complesse e brevi è utilizzare il primo carattere di ogni parola in una frase o in un testo. “Quante strade deve percorrere un uomo” potrebbe diventare HmmrmamwD—solo otto caratteri, ma relativamente complessi dal punto di vista di un programma per decifrare password. Allo stesso modo, potrebbe diventare “Scuotilo, scuotilo come una foto polaroid”. SiSiLapp - forse non eccezionale, ma migliore di tartaruga. Questo trucco può anche aiutare a generare buone password per i sistemi che hanno ancora un limite sulla lunghezza delle password.
Queste linee guida generalmente ti aiuteranno a trovare password complesse e facili da ricordare. Naturalmente, quando si ha a che fare con sistemi di password con requisiti di composizione (ovvero, si aspettano caratteri misti, numeri o simboli) dovrai comunque inventare stravaganti modifiche alle password per soddisfarle requisiti. Ricorda solo che con password più lunghe puoi apportare sostituzioni e modifiche in punti ovvi: di solito, queste password lunghe sono più facili da ricordare anche con requisiti rispetto a password brevi e senza senso Le password.
Qualche altro suggerimento
Altre cose a cui pensare quando scegli le password:
- Utilizza password separate per servizi separati. Non utilizzare la password del social network per l'online banking. Se una password viene compromessa su un servizio, gli altri dovrebbero essere al sicuro.
- Scegli attentamente le password importanti. I sistemi di accesso singolo potrebbero essere estremamente convenienti, ma creare anche un singolo punto di errore per più servizi. Esempi potrebbero essere le password degli account di Google, Yahoo e dei servizi Microsoft, dove una singola password crackata potrebbe fornire qualcuno ha accesso a e-mail, documenti, immagini, social network, blog, raccolte di foto, elenchi di contatti, rubriche e Di più. Allo stesso modo, con così tanti siti (anche Tendenze digitali) accettando l'accesso a Facebook e Twitter, una password di social networking compromessa può avere ripercussioni di vasta portata.
- Cambia le tue password. È forte la tentazione di pensare che se una delle tue password viene violata, lo saprai subito: la tua email svanirà, il tuo blog diventa un set di grafica lulz, la tua lista dei regali di Amazon potrebbe essere piena di opzioni imbarazzanti, il tuo conto PayPal potrebbe essere cancellato fuori. Tuttavia, non è sempre così: se qualcuno viola la vostra password, potrebbe non esserci alcun segno evidente, almeno non subito. Modificando regolarmente la tua password, ti assicuri che, anche se qualcuno dovesse entrare, la sua finestra di opportunità per sfruttarti sarà limitata. La frequenza con cui dovresti modificare le password varia a seconda del modo in cui utilizzi i servizi online. Per qualsiasi cosa che coinvolga soldi veri, generalmente consiglio agli utenti di cambiare la propria password ogni 30-90 giorni: più soldi, più spesso.
Nessuna password è sicura
Forse la cosa più importante da ricordare sulle password è questa Qualunque la password può essere decifrata: è solo una questione di quanto tempo e impegno qualcuno è disposto a dedicarci. I suggerimenti qui riportati ti aiuteranno a ridurre le probabilità che le tue password vengano sradicate da aggressori casuali e persino da amici e familiari, ma nessuna password è completamente sicura. Se per te è molto importante l'accesso sicuro a un servizio, valuta la possibilità di esaminare varie forme di autenticazione a più fattori per ridurre ulteriormente le possibilità di accesso non autorizzato.
Credito immagine: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa
Raccomandazioni degli editori
- Queste password imbarazzanti hanno fatto hackerare le celebrità
- No, 1Password non è stato violato: ecco cosa è realmente successo
- Come proteggere con password una cartella in Windows e macOS
- LastPass rivela come è stato violato e non è una buona notizia
- Reddit è stato violato: ecco come impostare la 2FA per proteggere il tuo account
