Dopo anni di inviti a modificare le password, la Federal Trade Commission (FTC) afferma che ciò potrebbe aumentare le probabilità della violazione degli account
Vi diamo spesso consigli su come prendervi cura dei vostri dati e non cadere vittima di attacchi hacker. Più di una volta si è detto di cambiare spesso la propria password rendendola lunga, unica e robusta (contenente numeri, lettere minuscole e maiuscole). Tuttavia, secondo Lorrie Cranor, capo del settore tecnologico della Federal Trade Commission statunitense, cambiare la password troppo spesso indebolisce la propria sicurezza.
Ciò è dovuto al fatto che ogni volta che un utente cambia la propria password questa diventa più debole e in parte più prevedibile. Si tende infatti ad apportare minime differenze da quella utilizzata in precedenza, modificando ad esempio una sola lettera, un numero o inserendo una maiuscola. Questo stratagemma, gli hacker lo conoscono bene e potrebbe aumentare le probabilità di carpire le credenziali degli utenti. Secondo quanto riportato da Cranor, durante un convegno sulla sicurezza, una password come tarheels#1 diventava tArheels#1al primo cambio, poi taRheels#1e via di seguito. Oppure diventava tarheels#11, poi tarheels#111e avanti così.
Alcuni ricercatori della University of North Carolina hanno passato al microscopio migliaia di codici di accesso che, negli anni precedenti, erano stati scelti da ex studenti, dipendenti e via dicendo, e sono stati in grado di elaborare un algoritmo capace di predire le variazioni delle password con elevata precisione. Il risultato? Durante la simulazione di un attacco, sono riusciti a violare più del 17% degli account in meno di cinque tentativi. Inserendo invece l’algoritmo il 41% degli account ha ceduto in meno di tre secondi (fonte articolo).
Una password sicura
Ad eccezione di quando si ha il sospetto che la propria password sia nota a qualcuno, ha poco senso cambiarla di frequente (ovviamente se inizialmente la si è scelta con criterio). Anche se, come Cranor afferma, presto il riconoscimento basato sulla sola password verrà sostituito completamente da altri sistemi più sicuri come le impronte digitali, vocali o la scansione dell’iride, occorre proteggersi. Per farlo il nostro consiglio è quello di variare la password impostandola in modo tale che sia completamente differente dalla precedente. Utilizzare una “tastiera virtuale” per editare le credenziali di autenticazione, evitando in questo modo che un eventuale keylogger possa catturarle al momento della modifica.
Infine, dovreste assicurarvi che tutte le operazioni eseguite su server remoti (ad esempio attraverso un browser web) siano gestite tramite il protocollo SSL.
