Password complesse: come crearle e utilizzarle

Lunghezza adeguata. Ogni carattere che si aggiunge alla password contribuisce ad aumentare la protezione. La password dovrebbe contenere un minimo di 8 caratteri; la lunghezza ideale è da 14 caratteri in su.
Molti sistemi supportano anche l’uso di spazi nelle password ed è quindi possibile creare una frase composta da più parole (una “passphrase”). Una passphrase è più semplice da ricordare rispetto a una singola password, oltre che più lunga e più difficile da indovinare.
Combinazione di lettere, numeri e simboli. Più sono diversi i caratteri utilizzati per la password, più difficile sarà indovinarla. È inoltre importante ricordare che:

• Meno sono i tipi di caratteri utilizzati nella password, più è importante aumentarne la lunghezza. Una password di 15 caratteri composta solo da numeri e lettere casuali è 33.000 volte più complessa rispetto a una password di 8 caratteri composta da caratteri disponibili sulla tastiera. Se non è possibile creare una password che contenga simboli, per ottenere lo stesso livello di protezione è necessario aumentarne la lunghezza. Una password ideale è lunga e contiene tipi di simboli diversi.
 
• Utilizzo dell’intera tastiera e non solo dei caratteri più comuni. I simboli che si ottengono tenendo premuto il tasto “MAIUSC” e digitando un numero sono molto comuni nelle password. La password è molto più efficace quando si sceglie tra tutti i simboli a disposizione sulla tastiera, compresi i segni di punteggiatura presenti sulla riga superiore e i simboli caratteristici della propria lingua.

Utilizzo di parole e frasi facili da ricordare, ma difficili da indovinare per gli altri. Il modo migliore per ricordare le proprie password e passphrase è annotarle. Al contrario di quanto si pensa comunemente, non c’è nulla di sbagliato nell’annotare le proprie password, purché siano conservate in un luogo sicuro.

Le password sono più al sicuro da Internet se scritte su un pezzo di carta piuttosto che memorizzate in un software di gestione delle password, su un sito Web o con altri strumenti di memorizzazione.

Creazione di una password complessa e semplice da ricordare in 6 passaggi
Per creare una password complessa, seguire la procedura descritta:

1.Pensare a una frase semplice da ricordare. Questo è il punto di partenza per creare una password o passphrase complessa. Usare una frase semplice da ricordare, ad esempio “Mio figlio Andrea ha tre anni”.
 
2.Verificare se il computer o il sistema online supporta le passphrase. Se possibile, utilizzare una passphrase (con spazi tra i caratteri) sul computer o sul sistema online.
 
3.Se il computer o il sistema online non supportano le passphrase, convertirle in password. Prendere la prima lettera di ciascuna parola della frase per crearne una nuova che non avrà alcun senso. Utilizzando l’esempio precedente, si otterrà: “mfahta”.
 
4.Rendere la password ancora più complessa usando lettere maiuscole e minuscole alternate a numeri. È utile a tal fine spostare le lettere o scrivere parole con errori ortografici. Nella passphrase composta in precedenza, ad esempio, si può provare a scrivere il nome Andrea con qualche errore oppure sostituire la parola “tre” con il numero 3. Le sostituzioni possibili sono molte e a una frase più lunga, come detto, corrisponderà una maggiore complessità. La passphrase potrebbe diventare “Mio FigliO Andr3A ha 3 anNi”. Se il computer o il sistema online non supporta le passphrase, utilizzare la stessa tecnica per creare una password più breve. La password, in questo caso, potrebbe essere “MfAh3a”.
 
5.Infine, sostituire alcuni caratteri con simboli speciali. È possibile utilizzare simboli simili a lettere, combinare le parole (rimuovere spazi) e rendere in altri modi la password più complessa. Grazie a queste elaborazioni, si crea una passphrase del tipo “MioFigliO 8A h@ 3 @nni” o una password (utilizzando la prima lettera di ciascuna parola) “MF8h3@”.
 
6.Valutare l’efficacia della nuova password con lo strumento di controllo delle password. Lo strumento di controllo delle password è una funzione, che non registra le informazioni, disponibile sul sito Web e in grado di verificare l’efficacia delle password utilizzate.

Strategie da evitare
Alcuni metodi utilizzati per creare le password sono molto prevedibili per i malintenzionati. Per evitare di creare password semplici da indovinare:

• Evitare sequenze o caratteri ripetuti. Password simili a “12345678”, “222222”, “abcdefg” o composte da lettere adiacenti sulla tastiera sono molto semplici da indovinare.
 
• Evitare sostituzioni di caratteri con numeri o simboli simili. Gli utenti malintenzionati abbastanza abili da decifrare una password non si lasceranno ingannare da sostituzioni con caratteri simili, ad esempio della lettera “i” con il numero “1” o della lettera “a” con il simbolo “@”, come in “M1cr0$0ft” o “P@ssw0rd”. Queste sostituzioni possono essere efficaci se combinate con altre misure di protezione, quali la lunghezza, gli errori ortografici o le variazioni da maiuscole a minuscole, che contribuiscono a rendere più complessa la password.
 
• Non utilizzare il nome di accesso. Non è consigliabile utilizzare come password una parte del proprio nome, la data di nascita, il codice fiscale o altre informazioni simili. Questi sono i primi tentativi messi in atto da un utente malintenzionato.
 
• Non utilizzare parole presenti sul vocabolario di una qualsiasi lingua. Gli utenti malintenzionati utilizzano strumenti sofisticati in grado di indovinare rapidamente le password composte da parole presenti in più dizionari, anche se con errori di ortografia, scritte al contrario o con sostituzioni. Tra queste sono comprese anche parole irriverenti o parole che non si pronuncerebbero mai in presenza dei propri figli.
 
• Non utilizzare la stessa password per più account. Se uno dei computer o sistemi online che utilizzano la password in questione viene attaccato, anche tutte le informazioni protette dalla stessa password saranno compromesse. È fondamentale utilizzare password diverse per ciascun sistema.
 
• Non utilizzare gli archivi online. Se gli utenti malintenzionati trovano le password memorizzate online o su un computer in rete, avranno accesso a tutte le informazioni protette con le medesime password.

La “password vuota”
Una password vuota (nessuna password) in un account è più sicura di una password simile a “1234”. Gli utenti malintenzionati possono facilmente indovinare una password semplice, ma sui computer che utilizzano Windows XP, un account senza password non è accessibile in remoto da una rete o da Internet (l’opzione non è disponibile per Microsoft Windows 2000, Windows Me o versioni precedenti). È possibile scegliere una password vuota per l’account del computer quando vengono soddisfatti i seguenti criteri:

• Si utilizza un solo computer o diversi computer, ma non è necessario accedere alle informazioni di un computer da un altro
 
• Il computer si trova in un luogo sicuro (coloro che hanno accesso al computer sono persone fidate).

L’uso di una password vuota non è sempre una buona idea. Ad esempio, un computer portatile utilizzato in luoghi diversi probabilmente non è sempre al sicuro ed è quindi consigliabile utilizzare in questo caso una password complessa.

Accesso e modifica delle password
Account online
Per i siti Web esiste una vasta gamma di criteri con cui si stabilisce come accedere agli account e modificare le password. Cercare un collegamento (ad esempio “Account”) nella home page del sito mediante il quale accedere all’area speciale in cui gestire le password e gli account.

Password del computer
I file della Guida online del sistema operativo forniscono in genere informazioni su come creare, modificare e accedere agli account utente protetti da password e su come richiedere la protezione mediante password all’avvio del computer. È possibile trovare queste informazioni anche nel sito Web del produttore del software. Ad esempio, se si utilizza Microsoft Windows XP, nella Guida online (in inglese) è possibile trovare informazioni su come gestire le password (in inglese), modificare le password (in inglese) e molto altro.

Segretezza delle password
Utilizzare password e passphrase con la stessa attenzione con cui si utilizzano le informazioni che proteggono.

• Non rivelare a nessuno password o passphrase. Non rivelare le password ad amici o parenti (specialmente ai bambini) che possono divulgarle ad altre persone meno affidabili. Le password da condividere con altre persone, ad esempio la password del proprio conto in banca online da condividere con il proprio coniuge, rappresentano un’eccezione.
 
• Proteggere le password registrate. Prestare attenzione al luogo in cui si conservano le password registrate o annotate. Non lasciare i record in luoghi in cui non si lascerebbero le informazioni protette dalle password.
 
• Non inviare la password tramite posta elettronica anche se in riposta a una richiesta arrivata via posta elettronica. Qualsiasi messaggio di posta elettronica in cui viene richiesta la propria password o viene indicato un sito Web da visitare per verificare la propria password è spesso un tentativo di frode. Tra questi messaggi spesso vi sono richieste di aziende o persone ritenute attendibili. La posta elettronica può essere intercettata quando è in transito e i messaggi che richiedono informazioni personali possono non provenire dal mittente indicato. Le frodi tramite “phishing” in Internet vengono attuate mediante messaggi di posta elettronica falsificati, che inducono un utente a rivelare il proprio nome e le proprie password per rubarne l’identità. Scopri altre informazioni sulle frodi mediante phishing e come difenderti dalle frodi online.
 
• Modificare le password con regolarità. In questo modo è possibile tenere alla larga hacker e altri utenti malintenzionati. La complessità della password contribuisce a renderla sicura per molto tempo. Una password che contiene meno di 8 caratteri può essere utilizzata per una settimana circa, mentre una password con 14 o più caratteri (che segue le suddette regole) può essere utilizzata per molti anni.
 
• Non digitare la password in computer sui quali non si ha il controllo. I computer disponibili in Internet café, laboratori informatici, sistemi condivisi, sale conferenze e sale di aspetto di un aeroporto non devono essere considerati sicuri per uso personale, ma solo per navigare in Internet in modo anonimo. Non utilizzare questi computer per controllare la posta elettronica, accedere a chat room, verificare l’estratto conto, controllare la posta aziendale o altri account che richiedono nome utente e password. Gli utenti malintenzionati possono acquistare a costi minimi alcuni dispositivi molto semplici da installare che registrano la sequenza dei tasti digitati. Questi dispositivi consentono ai malintenzionati di ottenere tramite Internet tutte le informazioni digitate sulla tastiera di un computer. Password e passphrase hanno la stessa importanza delle informazioni che proteggono.

Cosa fare se la password viene rubata
Controllare regolarmente tutte le informazioni protette da password, ad esempio gli estratti conto di fine mese, i report di credito, gli account di acquisti online. L’uso di password complesse e facili da ricordare consente di migliorare la protezione contro frodi e furti d’identità, ma non offre garanzie assolute. Indipendentemente dalla complessità, se qualcuno riesce a infiltrarsi nel sistema in cui è archiviata la password, potrà disporne liberamente. Se si sospetta che qualcuno sia riuscito ad accedere alle proprie informazioni, rivolgersi immediatamente alle autorità competenti. Consultare ulteriori informazioni sulle procedure da adottare nel caso si ritenga di essere vittime di un furto d’identità o di una frode simile.