come si crea una password

Di Matteo Rizzo technology 9 min di lettura
come si crea una password

Ho visto decine di persone sedute davanti ai resti della propria vita digitale, con lo sguardo perso, dopo aver scoperto che il proprio conto corrente era stato svuotato in meno di tre minuti. Non è mai un problema di sfortuna. Il disastro accade perché qualcuno ha pensato che aggiungere un punto esclamativo alla fine del nome del proprio cane fosse una difesa valida. Ho assistito al caso di un piccolo imprenditore che ha perso l'accesso a tutta la sua infrastruttura cloud, con un danno stimato di quarantamila euro in contratti persi, solo perché aveva scelto una combinazione legata alla data di nascita della figlia. Quando mi chiedono Come Si Crea Una Password sicura, la mia risposta inizia sempre con una verità scomoda: se puoi ricordarla a memoria con facilità, probabilmente un software di brute-force può indovinarla in un battito di ciglia. La sicurezza non è un esercizio di memoria, è una sfida contro la potenza di calcolo statistica.

L'errore della sostituzione dei caratteri prevedibili

Molti utenti credono ancora nel mito del "leetspeak". Sostituire la "a" con "@" o la "o" con lo "0" è un trucco che i software di cracking hanno imparato a gestire circa vent'anni fa. Se scrivi "P4ssw0rd!", non stai proteggendo nulla. I database di leak che circolano nel dark web contengono miliardi di combinazioni già testate e queste sostituzioni sono le prime a essere provate dai bot automatici. Ho visto script che testano milioni di varianti al secondo; non serve a niente cercare di essere creativi in questo modo.

La soluzione reale risiede nella lunghezza, non nella complessità visiva. Un codice di otto caratteri con simboli strani è molto più debole di una frase di venti caratteri composta da parole casuali. Il tempo necessario per violare una stringa corta ma complessa è infinitesimale rispetto a quello richiesto per una stringa molto lunga. Non devi spremerti le meningi per trovare simboli esoterici. Devi allungare la catena. Ogni carattere aggiunto aumenta in modo esponenziale lo spazio delle chiavi che un attaccante deve esplorare. Se vuoi dormire tranquillo, smetti di pensare a singoli termini e inizia a pensare a intere sequenze slegate tra loro.

Capire Come Si Crea Una Password che le macchine non possono indovinare

Il vero problema è che gli esseri umani sono pessimi generatori di casualità. Tendiamo a seguire schemi. Se ti chiedo di scegliere un numero tra uno e dieci, sceglierai il sette o il tre molto più spesso degli altri. Lo stesso accade con le chiavi di accesso. Usiamo schemi da tastiera come "qwerty" o sequenze logiche. Per capire Come Si Crea Una Password che abbia senso oggi, bisogna affidarsi alla crittografia, non all'immaginazione. Il metodo delle "passphrase" è l'unico che regge il confronto con i tempi moderni.

Prendi quattro o cinque parole completamente slegate, senza alcuna connessione logica tra loro. Ad esempio: "tavolo-canguro-eclissi-lampadina". Non c'è una storia dietro, non c'è un legame affettivo. Per un computer, indovinare questa combinazione richiede un'eternità perché il numero di combinazioni possibili tra le parole del dizionario è immenso. Per te, è una sequenza di immagini mentali facile da richiamare. Ho visto persone passare da codici vulnerabili come "Napoli2024!" a frasi come queste, riducendo il rischio di violazione del 99%. Il trucco è non usare citazioni famose o proverbi, perché anche quelli sono nei database dei cracker.

🔗 Leggi di più: iphone 11 vs iphone

Il mito della scadenza periodica forzata

Per anni, i dipartimenti informatici hanno costretto i dipendenti a cambiare le chiavi di accesso ogni trenta o novanta giorni. È stata una delle decisioni più dannose per la sicurezza globale. Cosa succede quando obblighi qualcuno a cambiare un codice che ha appena imparato? L'utente aggiunge un numero alla fine. "Estate2024" diventa "Estate20241". Poi "Estate20242".

Questo comportamento è talmente prevedibile che gli hacker lo sfruttano abitualmente. Se riescono a rubare un vecchio database, sanno già quale sarà la tua mossa successiva. Il National Institute of Standards and Technology (NIST) ha cambiato le sue linee guida proprio per questo motivo: non bisogna cambiare le chiavi a meno che non ci sia prova di una compromissione. La stabilità di una stringa lunga e unica è superiore alla rotazione frequente di stringhe deboli. Ho lavorato con aziende che, eliminando l'obbligo di cambio trimestrale, hanno visto crollare le richieste di reset e, paradossalmente, aumentare la robustezza degli account perché le persone finalmente sceglievano codici migliori senza la pressione di doverli dimenticare il mese dopo.

Perché la memoria umana è il tuo peggior nemico

Il tentativo di ricordare tutto è ciò che ti spinge a usare la stessa stringa ovunque. Questo è l'errore fatale. Se usi la stessa chiave per Facebook e per la tua banca, la sicurezza della tua banca è pari a quella di Facebook. Se un sito di ricette poco sicuro subisce un attacco e i tuoi dati vengono rubati, gli attaccanti proveranno immediatamente quella combinazione su Gmail, Amazon e PayPal. Si chiama "credential stuffing" ed è la causa principale del furto di identità oggi.

L'unico modo per gestire questo caos è usare un gestore di password. Non c'è alternativa praticabile. Un software che genera e memorizza stringhe casuali di trenta caratteri per ogni sito è l'unica difesa reale. Molti dicono: "E se hackerano il gestore?". La risposta è semplice: è molto più probabile che tu venga colpito da un attacco di massa su un sito comune che da una violazione mirata a un'azienda di sicurezza che cripta i dati localmente sul tuo dispositivo.

Da non perdere: api ms win core

Il confronto tra l'approccio amatoriale e quello professionale

Per capire la differenza, analizziamo come si comporta un utente medio rispetto a un professionista della sicurezza.

L'utente medio, chiamiamolo Marco, usa "Juventus1987" per quasi tutto. Quando un sito lo obbliga a inserire un carattere speciale, aggiunge un punto alla fine: "Juventus1987.". Quando deve cambiarla, mette "Juventus1988.". Marco si sente al sicuro perché la sua chiave è lunga dodici caratteri e ha numeri e maiuscole. In realtà, un database di leak contiene già milioni di varianti della parola "Juventus" e di anni di nascita. Un software impiegherebbe circa quattro secondi a entrare nel suo account. Se un servizio subisce un attacco, Marco perde tutto ciò che ha online in una notte.

Il professionista, chiamiamolo Andrea, non conosce nemmeno le proprie chiavi di accesso. Quando deve registrarsi a un servizio, apre il suo gestore e clicca su "genera". Il risultato è qualcosa come "9f#L2p!zR7tW&mQ5nB9vX1z". Andrea usa questa stringa solo per quel sito. Per la sua email principale, usa una passphrase di cinque parole casuali che conosce a memoria e che funge da ancora di sicurezza. Se il sito di un suo fornitore viene bucato, ad Andrea non importa nulla. Cambia la chiave di quel singolo sito in dieci secondi e la sua vita procede senza intoppi. Il costo in termini di tempo per Andrea è minore di quello di Marco, che deve continuamente resettare account bloccati o preoccuparsi di essere stato violato.

L'illusione della domanda di sicurezza

"Qual è il nome della tua prima scuola?". Questa è una delle trappole più ridicole messe in atto dai siti web. Le risposte a queste domande sono spesso di dominio pubblico o facilmente reperibili tramite una rapida ricerca sui social media. Se qualcuno vuole entrare nel tuo account, non cercherà di indovinare la tua stringa complessa; proverà a resettarla usando queste domande.

👉 Vedi anche: questo post

Ho visto account violati semplicemente guardando il profilo LinkedIn della vittima per scoprire dove avesse studiato. La soluzione professionale è mentire. La risposta alla domanda "Qual è il nome di tua madre?" non deve essere il nome di tua madre. Dovrebbe essere un'altra stringa casuale generata dal tuo gestore di password. Tratta le domande di sicurezza come se fossero una seconda chiave d'accesso. Non devono avere alcun legame con la realtà. Se il sistema ti chiede il colore della tua prima auto, rispondi "XyZp92#". Salva questa risposta nel tuo gestore. In questo modo, chiudi una porta che molti lasciano spalancata per pigrizia.

Implementare l'autenticazione a due fattori senza impazzire

Nessuna strategia su Come Si Crea Una Password è completa senza il secondo fattore di autenticazione (2FA). Tuttavia, c'è un modo giusto e uno sbagliato di farlo. Usare gli SMS come secondo fattore è meglio di niente, ma è vulnerabile al "SIM swapping", una tecnica in cui un criminale convince l'operatore telefonico a trasferire il tuo numero su una nuova scheda SIM.

  1. Installa un'app di autenticazione come Google Authenticator, Authy o Microsoft Authenticator. Queste app generano codici sul tuo dispositivo senza bisogno di rete cellulare.
  2. Scarica e conserva i codici di backup che i siti ti forniscono quando attivi la 2FA. Stampali e mettili in un posto sicuro. Se perdi il telefono e non hai questi codici, sei fuori dai tuoi account, spesso in modo permanente.
  3. Per gli account di valore estremo, come la mail principale che controlla tutti gli altri accessi, valuta l'acquisto di una chiavetta di sicurezza fisica come una YubiKey. È quasi impossibile da hackerare a distanza perché richiede la pressione fisica di un tasto sul dispositivo inserito nel computer.

L'errore qui è pensare che la 2FA sia un fastidio. In realtà, è la tua rete di salvataggio. Se anche qualcuno riuscisse a rubare la tua chiave d'accesso perfetta, non potrebbe entrare senza il possesso fisico del tuo dispositivo. Ho visto attacchi fallire miseramente proprio perché l'utente aveva attivato questa protezione, nonostante la sua stringa d'accesso fosse stata compromessa.

Una valutazione franca della realtà

Inutile girarci intorno: la sicurezza totale non esiste. Se un'agenzia governativa decide di bersagliare proprio te, avrà i mezzi per farlo. Ma il 99% dei problemi che affliggono le persone comuni e le imprese deriva da attacchi automatizzati e opportunistici. I criminali cercano le porte aperte, non le casseforti blindate. Se rendi il tuo account leggermente più difficile da violare rispetto alla media, gli attaccanti passeranno alla vittima successiva.

Il processo richiede uno sforzo iniziale di circa due ore per configurare un gestore di password, cambiare le chiavi dei siti più importanti (banca, email, social) e attivare l'autenticazione a due fattori. Dopo queste due ore, la tua sicurezza sarà superiore a quella della stragrande maggioranza della popolazione. Se non sei disposto a investire questo tempo, accetta il fatto che stai giocando alla roulette russa con i tuoi dati. Non è una questione di "se" verrai colpito, ma di "quando".

Non farti ingannare da chi ti promette soluzioni magiche o metodi mnemonici infallibili. La memoria umana fallisce, i computer no. Smetti di cercare di essere furbo e inizia a essere metodico. La tua identità digitale vale molto più del tempo necessario a proteggerla correttamente. Se perdi tutto, non sarà per colpa di un hacker geniale, ma perché hai preferito la comodità di una parola facile alla protezione di una procedura seria. La scelta, alla fine, è solo tua, ma non dire che nessuno ti aveva avvertito delle conseguenze.

MR

Matteo Rizzo

Con esperienza tra newsroom e progetti editoriali, Matteo Rizzo propone contenuti chiari, utili e ben documentati.

Articoli correlati

Il mito dell'indipendenza tecnologica e il vero ruolo di Samsung nell'economia globale

Il mito dell'indipendenza tecnologica e il vero ruolo di Samsung nell'economia globale
Il Governo Italiano Approva il Piano Stol It per Rinnovare le Infrastrutture Digitali della Pubblica Amministrazione

Il Governo Italiano Approva il Piano Stol It per Rinnovare le Infrastrutture Digitali della Pubblica Amministrazione
L'illusione del benessere leggero e la verità su Fitbit Air

L'illusione del benessere leggero e la verità su Fitbit Air
La Grande Illusione del Microchip e il Vero Prezzo della Sovranità Digitale

La Grande Illusione del Microchip e il Vero Prezzo della Sovranità Digitale