Come creare buone password e proteggersi dagli hacker

La sicurezza informatica è una di quelle cose che più passa il tempo, più la situazione peggiora invece di migliorare.
Nonostante le grandi evoluzioni tecnologiche degli ultimi anni, le violazioni della sicurezza sono sempre più frequenti e ogni mese si trova sul giornale l'ennesimo allarme sugli account dei vari servizi online.
Il più recente è il bug Heartbleed, la grave falla che ha reso vulnerabili agli hacker gli account di migliaia di siti web, tra cui anche Yahoo, Tumblr e alcuni servizi Google costringendo tutti noi a cambiare le varie password.
Sulla scia del bug Heartbleed vale la pena capire cosa si può fare come cambiare le password degli account online per tenerle al sicuro dagli hacker.

Il problema è che l'evoluzione dei computer, oggi più veloci di qualche anno fa, rendono le password molto più facili da scovare per chi usa tecniche di hacking avanzate.
I processori consentono ai programmi di provare miliardi di combinazioni di password in un secondo quindi un lavoro che avrebbe richiesto anni, può essere oggi fatto da in pochi mesi o forse giorni.
Gli hacker inoltre sono diventati molto più scaltri e furbi e sanno molto di più sulle nostre password rispetto al passato.
Tutte i recenti casi di password scovate su alcuni siti frequentati come Linkedin, Yahoo e Sony, hanno aiutato gli hacker a identificare i vari modelli logici usati dalle persone per creare password.
Gli hacker possono quindi utilizzare regole e algoritmi per decifrare anche le password più complesse.
Ad esempio, una password considerata molto difficile come "Sup3rPensatore" di 13 caratteri che utilizza lettere maiuscole e minuscole ed anche un numero.
Secondo le stime di Howsecureismypassword.net, per un normale computer desktop ci vorrebbe circa un milione di anni per trovarla, con una stima di 4 miliardi di calcoli al secondo.
Per un hacker invece possono bastare solo un paio di mesi grazie a software che non usano criteri casuali controllando ogni combinazione possibile, ma che provano prima le parole comuni combinate con un numero e mettendo maiuscole le prime lettere delle parole.

Per creare password uniche e del tutto imprevedibili che si possano difendere contro le più avanzate capacità di cracking usate dagli hacker ci sono delle regole da rispettare.

1) Evitare Formule prevedibili
Il problema più grande è che queste password ce le dobbiamo ricordare quindi usare caratteri casuali diventa poco pratico.
L'importante però è non usare parole di senso comune, nomi proprio, città e parole storpiate in modo banale come, ad esempio, Sup3r, con un numero alla fine, magari usando lo 0 al posto della o e mettendo una lettera maiuscola all'inizio.
Questi stratagemmi prima efficaci sono ora conosciuti dagli hacker.
Anche scrivere una parola al contrario non è una tecnica buona e sicura.
La soluzione: non fare quello che fanno tutti gli altri. Evitare i modelli sopra e ricordarsi le basi è quella di non usare una sola parola che sia contenuta da un dizionario, nomi o date.
Bisognerebbe quindi inventarsi una nuova parola originale e unica, che non somigli ad altre parole.
Purtroppo anche questa regola non è sufficiente per stare tranquilli in pieno, come vedremo al punto 3.

2) Utilizzare una password univoca per ogni sito
Si capisce che questo diventa complicato, ma solo così si può essere tranquilli che la password sia protetta dagli hacker.
Utilizzare una password diversa per ogni sito limita il danno che può essere fatto se / quando c'è una violazione della sicurezza.
Ad esempio, per il bug HeartBleed, se si usava la stessa password su tutti i siti, allora anche se non tutti i siti sono stati colpiti, bisognerà comunque modificare quella password ovunque.
Se si utilizza la stessa password per tutto e qualcuno riesce a conoscerla, avrà accesso a tutti i nostri account.
Nell'articolo su come generare password forti per tutti i siti è spiegato come creare una regola di password per più siti web facendo password diverse per ciascuno.
Purtroppo però utilizzare una variante della stessa password per ogni sito non è ancora ottimale per la sicurezza.

3) Utilizzare password casuali
Una password casuale è più sicura di qualsiasi password complessa.
Casuale significa veramente fatta di caratteri random, praticamente impossibile anche da ricordare come, ad esempio: gfET3ve5345ge.
Non solo, si dovrebbe usare una password casuale completamente diversa per ogni account di sito web.
Per farlo si può usare un programma generatore / gestore di password.
Non dobbiamo quindi ricordare le password a memoria, ma lasciarle gestire ad un programma che genera casualmente le carie password, le memorizza e le protegge con crittografia.
Alla fine si dovrà ricordare solo una password, quella del programma di gestione.
LastPass, KeePass o 1Password .
Usare questi programmi è più facile di quanto si pensi ma può essere poco pratico per accedere agli stessi servizi dallo smartphone.

4) Cambiare la password da un computer pulito e sicuro
Fondamentale prima di cambiare la password e stare sicuri che il PC sia sicuro e pulito da virus.
In caso di dubbi, fare una scansione con malwarebytes prima di fare modifiche e usare un browser web senza estensioni toolbar e plugin esterni.

L'unica password sicura comunque è quella che non si riesce a ricordare e questo è l'unico modo di non farsi hackerare un account oggi.

20/04/2014
Fonte:
http://www.navigaweb.net