L'utilizzo di un generatore di password per creare una password sicura fa parte di un ampio approccio alla protezione dell'accesso alle applicazioni, ai dispositivi e ai dati aziendali. La password è sinonimo di utilizzo di Internet, tanto che, secondo i ricercatori di NordPass, il numero medio di password che ognuno di noi deve ricordare è di 70-80. Anche quando si utilizza la biometria per il login, la password o il PIN sono il recupero di emergenza quando l'utente non è in grado di accedere. Anche quando si utilizza la biometria per l'accesso, una password o un PIN sono il ripiego quando il sistema biometrico fallisce.
Il riutilizzo delle password è una soluzione nota per le password multiple. Questo è comprensibile, perché creare password forti per siti con politiche di password diverse e poi ricordarle può causare un sovraccarico cognitivo.
Che cos'è una password forte?
Quando i professionisti della sicurezza informatica parlano di "password forte" o "forza della password", si riferiscono a quanto sia facile (o difficile) per un criminale informatico violare la password. È possibile utilizzare un programma di verifica della forza delle password online per vedere quanto tempo ci vorrebbe per decifrare una password comune.
Ecco un esempio di password comuni e di quanto sono "forti", ovvero quanto tempo ci vuole per decifrarle:
Le tre password più comuni secondo l'ultima ricerca di DashLane (settembre 2022):
- password(istantanea)
- 123456(istantaneo)
- 123456789(istantaneo)
Il tempo per decifrare ogni password è indicato tra parentesi: informazioni fornite da NordPass.
Una password forte deve essere imprevedibile, composta da un mix di maiuscole e minuscole, lunga più di dieci caratteri e contenere numeri e caratteri speciali. Ad esempio, wE4!*tHokl94! richiederebbe 31 anni per essere decifrata. Tuttavia, immaginate di creare 70 nuove password con questo formato, tutte uniche, e di doverle poi ricordare tutte.
Perché usare un generatore di password
Le nostre password devono essere tenute sacrosante: la password è la porta d'accesso ai dati aziendali e personali, e la sua compromissione porta a diversi incidenti dannosi per la sicurezza informatica, tra cui l'infezione da ransomware, l'esposizione dei dati e l'infezione da malware di dispositivi e reti.
Le password vengono utilizzate perché sono comprensibili. Ma il problema è che le password sono più complesse da usare di quanto non sembri, e i problemi di usabilità intrinseci causano lacune nella sicurezza. Inoltre, come già detto, dobbiamo ricordare molte password per interagire con la tecnologia. Il risultato è che molti di noi ricorrono a soluzioni alternative o "hack".
Trovare degli hack per semplificare la vita e il lavoro è un'abitudine comune e comprensibile per le persone impegnate che devono effettuare più accessi a dispositivi, app e altre risorse di rete. Il riutilizzo delle password è un hack che aiuta i dipendenti a far fronte allo tsunami di password utilizzate al lavoro e a casa; i dipendenti usano la stessa password per diversi account. Condividere le password o scriverle in bella vista sono altre aree di abuso di password dovute all'utilizzo di più password.
Il lavoro a distanza aggrava il problema dell'uso improprio delle password. Uno studio del 2022 ha rilevato che il 62% dei dipendenti condivide le password via SMS o e-mail. La stessa ricerca riporta statistiche allarmanti sulla negligenza delle password, tra cui il 57% ammette di aver scritto le password online relative al lavoro su "foglietti adesivi" e il 67% di questi individui ha poi perso questi foglietti.
Con il 50% degli attacchi informatici che coinvolgono credenziali di accesso rubate, mantenere le password al sicuro e renderle il più forti possibile è una parte fondamentale di un'organizzazione sicura dal punto di vista informatico.
La scarsa igiene delle password, che consiste nello scrivere una password, non può essere imputata all'individuo. Tuttavia, con un numero così elevato di password uniche da ricordare, questa tattica può essere l'unico modo per far fronte alla situazione. Un'alternativa che aiuta i dipendenti a gestire numerose password e a generarne di forti è il generatore di password.
Come funziona un generatore di password
Potreste già avere esperienza nell'uso di un gestore di password quando vi viene chiesto di completare una password durante la registrazione di un account. Browser come Chrome e Safari hanno generatori di password integrati. I gestori di password creano password sicure utilizzando uno dei tre metodi per generare una password casuale:
- Generatore di numeri pseudocasuali (PRNG): il computer utilizza un algoritmo per generare il seme che forma la password casuale.
- Generatore di numeri casuali veri (TRNG): utilizza una fonte fisica come il decadimento radioattivo degli isotopi per generare il seme.
- Numero pseudocasuale sicuro dal punto di vista crittografico (CSPRNG): un tipo di PRNG adatto all'uso crittografico.
I numeri casuali generati vengono utilizzati per la creazione di una password e della sua lunghezza. Per proteggere la generazione della password risultante, un generatore di password robusto utilizza in genere funzioni di hash o cifrari a blocchi (ad esempio, AES)", che agiscono per prevenire una serie di attacchi che potrebbero rendere le password insicure.
I generatori di password commerciali, compresi i software basati su browser, in genere memorizzano le password pronte per essere utilizzate quando l'utente tenta di accedere a un sito web. A quel punto, il generatore fornisce l'accesso alla password o può precompilare il campo della password nella pagina di accesso. I generatori di password creano quindi password robuste e sicure e possono anche aiutare a gestirle.
Generazione di password e consapevolezza della sicurezza
Anche le password più robuste create da un generatore di password sono a rischio a causa di una scarsa igiene delle password. Ad esempio, anche una password come wE4!*tHokl94! che richiederebbe 31 anni per essere decifrata, non ha alcun valore se è oggetto di phishing, rubata in un attacco di forza bruta o persa e ritrovata da un hacker. Un generatore di password creerà password forti, complesse e difficili da decifrare e contribuirà ad alleviare la necessità di ricordare innumerevoli password. Tuttavia, il loro utilizzo deve essere affiancato da un buon comportamento in materia di sicurezza.
I dipendenti devono essere istruiti sull'igiene delle password, evitando di condividerle, di scriverle su pezzi di carta o di lasciare il computer o i dispositivi collegati quando sono lontani dalla scrivania. Tuttavia, un password manager può essere uno strumento utile per far rispettare l'igiene delle password e per incoraggiare e formare i dipendenti sull'importanza delle password forti.
