Forse avrete visto qualcuno dei film dedicati alla decrittazione del codice Enigma della marina militare tedesca. Per rompere questo codice, durante la II Guerra mondiale, gli inglesi usarono il primo computer e misero al lavoro geni della matematica come Alan Turing e molti esperti di enigmistica radunandoli a Bletchey Park. Computer e geni furono di aiuto ma la vera svolta avvenne quando qualcuno ipotizzò che i messaggi in codice intercettati finissero tutti con le stesse parole: Heil Hitler. Fu questa ipotesi che permise di rompere il codice.
Una password difficile da immaginare
Quando digitate una password, quella che viene trasferita in rete è una sua codificazione detta hash: una lunga stringa di caratteri. Decrittare un hash è impossibile ma è possibile fare delle ipotesi. Gli hacker fanno intercettare gli hash che viaggiano in rete (cosa facilissima) a dei computer che, al ritmo di migliaia al secondo, avanzano delle ipotesi.
Prima passano in rassegna le parole chiave più usate (123456, Pippo, password, sex e via dicendo) poi tutte le parole in linguaggio naturale, nome e cognome della user id (che non è sempre criptata) associata a qualche numero. Dopo qualche milione di ipotesi… passano ad altro (a meno che non stiano cercando specificatamente la vostra password ma questo capita di rado).
L’anello debole siamo noi umaniQuindi la password deve essere difficile da immaginare. Una password come b”b[1r^w&5xs! è quasi impossibile da ipotizzare e quindi da decodificare. Peccato che sia anche impossibile da ricordare. Gli umani infatti preferiscono:
- usare password brevi (quando invece dovrebbero essere lunghe)
- usare sempre la stessa password (quando bisognerebbe usarne una diversa per ogni sito o servizio)
- cambiarla meno spesso possibile (quando invece bisognerebbe cambiarle il più spesso possibile)
- usare il proprio nome o cognome (che è un dato spesso inviato insieme alla password)
- se devono usare dei numeri preferiscono date di nascita proprie o dei figli o di matrimonio (che sono dati desumibili da una veloce ricerca sul web o sui social media)
Insomma, gli umani sono il punto debole di ogni sistema di sicurezza. Se parliamo di email personali potete decidere voi qual è il livello di rischio che siete disposti ad accettare. La password per accedere al sito del Touring Club forse non merita troppa attenzione ma se è la stessa che usate per identificarvi e controllare l’andamento dei vostri investimenti questo diventa un problema.
Il ladro è dentro casa e voi siete chiusi fuori
Ci sono delle regole precise per aumentare il livello di sicurezza delle password, ho provato a sintetizzarle in questo decalogo. Decidete voi se adottarle tutte o sempre. La casa è vostra e potete lasciare la porta socchiusa o le finestre aperte al pian terreno. Vi consiglio però di adottarle tutte, almeno per quel che riguarda la madre di tutte le password, vale a dire quella della posta elettronica.
Perché la posta elettronica è così importante? È semplice, Chi accede alla vostra posta elettronica, magari di notte quando non controllate i messaggi in arrivo, può prima di tutto cambiare la password di accesso, poi, scorrendo l’archivio, scoprire su quali siti e servizi siete registrati, entrare e – affermando di aver dimenticato la password – farsene mandare una nuova.
A quel punto lui ha accesso a tutti i dati e servizi e voi siete chiusi fuori e vi risulterà ben difficile convincere i gestori della posta elettronica e dei servizi che… voi siete voi. Siete poco convinti? Andate sul sito www.haveibeenpwned.com che raccoglie 8 miliardi e rotti di indirizzi mail e password scoperte dagli hacker. Digitate il vostro indirizzo mail: se risulta rubato digitate anche la vostra password. Se risulta scoperta anche quella… forse è il caso di leggere questo decalogo!
Riccardo Montanaro (ceo), e.tere@ srl