È di poche ore fa la notizia dell'arresto di alcuni hacker che hanno rubato oltre 100 milioni di account tra email e social network (principalmente Instagram), per poi rivenderli sul dark web e su forum specializzati. I tre malintenzionati avrebbero usato attacchi di tipo brute-force per scoprire le password degli account compromessi, una tecnica relativamente semplice, che fa leva sull'uso di password poco efficaci da parte degli utenti.
L'algoritmo di brute-force ha complessità esponenziale, quindi più la password è complessa, più tempo ci vorrà per bucarla, ma in questo caso il fattore "tempo" cresce in modo esponenziale: per farvi un esempio, una password di 6 caratteri con solo lettere minuscole viene scoperta in 10 minuti, ma se si mischiano maiuscole e minuscole, il tempo sale a 10 ore, mentre se si usano anche lettere e simboli si sale a 18 giorni. Un altro esempio? Una password complessa di 6 caratteri come detto viene bucata in 18 giorni, ma se i caratteri diventano 7, il tempo necessario passa a 4 anni.
Usi un password manager per conservare le tue password?
Insomma, avrete capito che perché un attacco brute-force abbia successo, dov'esserci prima di tutto un account protetto da una password debole. Purtroppo sappiamo bene che le persone tendono a usare sempre la stessa password, scegliendone una facile da ricordare, come un nome, o la propria data di nascita; si tratta del modo peggiore per scegliere qualcosa che dovrebbe essere quanto più sicuro possibile, specialmente perché esistono i password manager, che servono proprio per ricordarsi le password al posto vostro.
Si tratta di software pensati proprio per tenere al sicuro tutte le vostre password, rendendole facilmente accessibili quando ce n'è bisogno e proteggendole in tutte le altre situazioni. Solitamente al centro di un password manager c'è quello che viene chiamato Vault, un archivio crittografato a cui solo voi potete accedere e che contiene tutte le vostre password. Per sbloccarlo serve la così detta master password, che di fatto è l'unica che dovete ricordare; anch'essa dev'essere complessa, visto che protegge tutte le altre password dei vostri account, ma questo non significa che debba essere impossibile da ricordare.
Potete ad esempio usare maiuscole e minuscole e sostituire delle lettere all'interno di una parola con numeri e simboli, creando così una sequenza lunga almeno 8 caratteri che un attacco brute-force non riuscirà mai a superare: tornando all'esempio precedente, servono 463 anni per scoprire una password come questa. L'unica altra accortezza è quella di non usare la vostra master password in nessun altro servizio, in modo da proteggerla da eventuali furti di dati che potrebbero interessare i servizi che usate più spesso.
I migliori password manager offrono anche parecchi servizi aggiuntivi, come un generatore di password che vi permette di creare chiavi di accesso sicure per i vostri account, sistemi di autocompletamento (che velocizzano parecchio le operazioni di login), possibilità di salvare i dati di carte di credito e tanto altro.
E voi, usate un password manager per tenere al sicuro le vostre password? Fatecelo sapere rispondendo al sondaggio che trovate in questo articolo. Il mercato ne offre ormai moltissimi, gratuiti, a pagamento o anche integrati nel browser o nello smartphone. Sono facilissimi da usare e non bisogna nemmeno sborsare un centesimo per averne di efficaci ed efficienti, quindi non ci sono scuse per non iniziare a usarne uno subito!
Immagine di copertina: alexan107