How to Create a Secure Password to Protect Your Online Identity

These are the "basic" form of cyber defense, capable of protecting data and personal information from the longa manu of hackers and various hackers. That's why creating an effective password is essential for using social and other web profiles in complete safety.

As the years have passed and hackers' attack tactics have increased, more and more elaborate techniques have been developed to make secure passwords. They range from the combination of alphanumeric characters to the use of special software, up to the use of a dice and a long list of words. The important thing, computer security experts remind us, is not to use personal information or common words in the access keys used for social profiles or email accounts: it would only end up facilitating the work of hackers.

How to discover a password

When it comes time to steal passwords, in fact, hackers do not go very subtle. Most importantly, they use fully automated means so they don't have to waste too much time. The most used tactic is the dictionary attack: exploiting a database composed of strings and words, hackers try to break into users' profiles by entering possible passwords repeatedly. Una tecnica che torna particolarmente utile quando si è in possesso di grandi database con credenziali di accesso protette da crittografia: in questo caso per scoprire le password gli hacker trasformano il vocabolario (word list in gergo tecnico) in stringhe hash, così da confrontarle con quelle in possesso e trovare tutte le corrispondenze.

pass3.jpgFonte foto: Flickr

Password su un palazzo

Come creare password sicure

Tra i vari consigli per fare password efficaci, dunque, il primo e più elementare è quello di non essere banali. Utilizzare il proprio nome e cognome o la propria data di nascita (così come ogni parola di senso compiuta presa singolarmente) o successioni di numeri come “12345678” è come invitare gli hacker a nozze. Bisogna, quindi, sforzarsi un po’ di più con la fantasia e trovare delle combinazioni particolari che possano rendere sicuri i propri account online.

Otto caratteri, almeno

Quando si parla di password efficaci e sicure, si parla senza ombra di dubbio di password lunghe. Ogni carattere aggiunto alle proprie chiavi d’accesso, infatti, rende più complesso e difficoltoso il compito degli hacker: in questo modo aumenta l’entropia e la quantità di lavoro (informatico, ma non solo) richiesta per scoprire la password di Facebook o della posta elettronica. Se fino a poco tempo fa i maggiori fornitori di servizi web consigliavano di creare password di otto caratteri, oggi la soglia si è spostata verso l’alto: il numero minimo di caratteri consigliati è dieci, ma se si fanno password di dodici caratteri sarà ancora meglio.

pass2.jpgFonte foto: Flickr

File di hash contenente password

Combinata

Come detto inizialmente, utilizzare singole parole di senso compiuto non è consigliabile: si rischi di facilitare il lavoro di chi tenta come scoprire password. La password ideale (e non perfetta, dal momento che creare una chiave d’accesso perfetta è, probabilmente, impossibile) si compone di una sequenza casuali di caratteri alfanumerici: lettere maiuscole e minuscole, numeri e caratteri speciali (come punteggiatura, simboli matematici e altro).

Parole “modificate”

Nel caso in cui si volessero utilizzare comunque parole di senso compiuto, ci sono alcuni trucchi che permettono di fare password facili da ricordare, ma complesse da scoprire. Alcuni utenti, ad esempio, preferiscono sostituire i numeri alle lettere: lo “0” può andare al posto della “o”, mentre il “3” è il sostituto della “E”, l’”1” va al posto della “i” e il “5” come “S”. Una parola semplice come “Sentiero”, ad esempio, si può trasformare in “53nt1er0”: nulla di troppo complesso, ma sicuramente più difficile da scoprire per gli hacker.

pass.jpgFonte foto: Flickr

File di hash contenente password

Giocare con i dadi

Sempre restando nell’ambito delle parole di senso compiuto, una tattica che sta riscuotendo particolare successo negli ultimi anni è quella del diceware (dove dice sta per dado). Questa tecnica si basa su di un vocabolario formato da circa 60 mila termini di senso compiuto: parole utilizzate quotidianamente e identificate tramite un codice di cinque cifre da 1 a 6 (un codice, ad esempio, potrebbe essere 15465). Per creare password con il diceware sarà sufficiente dotarsi di un dado a sei facce (di quelli utilizzati per il Gioco dell’oca o per Monopoli, tanto per intendersi) e di un vocabolario creato ad hoc (si può utilizzare un dizionario diceware trovato in Rete in qualunque lingua; oppure è possibile scaricare la lista di parole Diceware in italiano, curata da Tarin Gamberini). A questo punto si potrà tirare il dado per cinque volte, appuntarsi la sequenza di numeri e andare a ricercare la parola corrispondente nel file scaricato. La peculiarità di questa tecnica è che consente di generare passphrase (frasi d’accesso) facili da ricordare (più o meno) in maniera semplice. Se, ad esempio, si vuole creare una passphrase di quattro parole (tutte di senso compiuto) basta tirare il dado per venti volte, raggruppare i numeri a cinque a cinque e confrontare le quattro sequenze numeriche ottenute con il vocabolario diceware e il gioco è fatto.

generator.jpgFonte foto: redazione

Schermata di un password generator

Generatore di password

La via più breve per generare password efficaci è quella di ricorrere a generatori di password, software e applicativi web in grado di creare una stringa di caratteri casuali, utilizzando caratteri alfanumerici e seguendo le indicazioni fornite dall’utente. I password generator possono creare password sicure composte da dodici e più caratteri, mescolando lettere maiuscole e minuscole, numeri e caratteri speciali. I servizi più celebri sono Identity Safe di Norton, LastPass, Password Generator e Random.org: basterà sceglierne uno, impostare le opzioni come meglio si crede e premere su genera. In a few moments you'll have your own random and long password, impossible (or almost) to discover.

passmanager.jpg

Password manager for smartphones

Secure passwords

The problem with complex, long and random passwords is that they are difficult to remember. That's why many users prefer to keep (or create) insecure, but easy-to-remember passwords rather than making effective passwords that put their personal data safe from attack attempts. To get around this problem and thus be able to use access keys that effectively protect our data, you can use password managers. These are software and applications, both installable on the memory of the device and usable online, which allow you to securely save your access credentials to various services. In this way, it will be enough to connect to the login page to see the username and password chosen automatically appear and you will no longer run the risk of forgetting them. It is worth noting that, in most cases, it is not necessary to install any additional software: the most used browsers such as Chrome and Firefox integrate, among other features, a practical and secure password manager.

How to test password security

Have you finally chosen your random, alphanumeric, long or multi-word (passphrase) access key? If you want, you can test it before using it with your email account. On the web, in fact, there are several services that allow you to check how "strong" the password is and provide, at the same time, an indication of how long it will take a hacker to discover the password of Facebook or any other profile.

Three the services to check the strength of the password most popular and used by users: Kaspersky secure password checker, The password meter, How secure is my password. All these tools provide an indication of the security of the password, accompanied by some "complementary" data: the Kaspersky tool, for example, indicates how long it takes on average to break the profile, while the password meter assigns a score to the password based on some security criteria followed (length of the access key, random sequence or not, presence of numbers and special characters and so on). In case the results are not as expected (insecure and easily guessable password) you can follow the guide again and create a hacker-proof password.