Soluzioni tecniche

Quanto è sicura la tua password?

28 Febbraio 2017

Percraccare la mia password ci vogliono 158 mila anni…
Per quella del mio collega Andrea 204 milioni…
…e per “bucare” la tua di password, quanto ci vuole?
 

 
Sappiamo tutti che amici, colleghi e clienti spesso hanno password come snoopy, 4marzo, fuffi, fuffi2005, ma difficilmente ci rendiamo conto della pericolosità di certe scelte. E quando si parla con i clienti di sicurezza, spesso si pensa a concetti generali: le minacce paiono lontane e non toccano la nostra sensibilità… Ma se fossimo in grado di quantificare il rischio e dicessimo a un cliente che un hacker per bucare la sua password ci metterebbe una sola giornata (!) forse ci starebbe a sentire con maggiore attenzione, no?

Ti segnalo allora un semplice strumento gratuito che fa proprio questo: verifica la robustezza delle tue password. E’ disponibile a questo indirizzo https://howsecureismypassword.net e ti basta inserire la password per scoprire in un attimo quanto ci metterebbe un hacker per “indovinarla”. Davanti a certi numeri sarà più facile impostare con i tuoi clienti una discussione seria sul tema sicurezza.

Esiste anche un tool in italiano che può aiutarti a capire quanto sia sicura la tua password, oltre a permetterti di generare password sicure, puoi trovarlo qui.

Prima di fare le prove ti consiglio di fare un attimo una riflessione e non inserire davvero la tua password ma una molto simile come struttura.

Infatti a usare la tua vera password ci sono due potenziali criticità.
In primo luogo stai comunicando la tua password, cosa che non dovresti mai fare con nessuno.
In secondo luogo una password in chiaro se nelle mani “sbagliate” può contribuire alla costruzione delle rainbow table (tabelle usate dai hacker per indovinare le password).
Quindi se la tua vera password è “CaneMalato23”, potresti provare la robustezza di “MareGelato88” che come complessità strutturale è pressoché identica alla tua.
Fine delle riflessioni circa l’utilizzo della tua vera password, andiamo avanti.
 
Compreso e condiviso che è necessario avere password complesse si pone un altro problema, anzi 2.

  1. I clienti (ma un po’ tutti per la verità) non vogliono fare lo sforzo di memorizzare tante password complesse.
  2. Se le password sono complesse (in realtà anche se non lo sono) dove si può memorizzarle?

Scommetto che il secondo problema lo hai anche tu che, occupandoti di IT, sei attento e usi password complesse.
 
Fortunatamente esiste una soluzione, che risolve questi due problemi in un colpo solo.
Si chiama AuthAnvil ed è un sistema di autenticazione multifattore, single sign-on e password management.

L’autenticazione multifattore è un elemento molto importante per l’identificazione di chi accede a un sistema informatico, ma lasciamola da parte un attimo e concentriamoci su single sign-on e gestione delle password.

Il single sign-on è una funzionalità che ti permette di dichiarare le tue credenziali al primo accesso ai sistemi e poi di non doverle più inserire per gli altri sistemi a cui ti colleghi. Quindi se anche hai password molto complesse per ogni sistema, ti sarà sufficiente ricordare solo la prima: al resto ci penserà AuthAnvil.

E parlando di gestione delle password:

  • hai un luogo sicuro dove tenerle?
  • Chi ha diritto di accedere e a quale password?
  • Quando una persona va via, sai quali sono le password che conosceva visto che occorre cambiarle?

Il gestore di password integrato in AuthAnvil è la risposta a tutte e tre le domande perché permette di gestire con la dovuta sicurezza le password, che oggi sono la chiave di accesso a tutta la nostra vita, personale e professionale.
 

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (2)

Ho provato il tool, ma non mi sembra particolarmente attendibile: dà molto peso alla lunghezza della password e molto meno alla sua prevedibilità; una sequenza di 1 risulta più lunga da individuare di una password più corta, ma senza logica. Se fosse vero allora tutti i criteri sulle password sarebbero inutili.

Giovanni Fiorini,

In generale la robustezza di una password si misura in "tempo": ossia quanto tempo macchina ci vuole (attacco brute force) per sfondare una password.
In questo senso piu’ la password è lunga piu’ tempo di vuole a indovinarla.
Tuttavia la lunghezza non è l’unico parametro. Ci vuole, giustamente, anche la complessità.
Non basta uno solo dei due criteri, servono entrambi: lunghezza e complessità

Claudio Panerai,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.