Rivista sulle password

L'entropia descrive quanto sia difficile prevedere una password. Non nasce da una complessità apparente, ma dalla lunghezza e dalla casualità reale.

Sia le password sia le passphrase possono essere molto sicure. La differenza sta soprattutto nella lunghezza, nella casualità e nella comodità d'uso quotidiana.

La lunghezza della password è una delle leve più efficaci per la sicurezza. Per account importanti, 16 caratteri o più rappresentano un buon standard.

Un generatore di password crea stringhe o passphrase casuali che sono molto più difficili da indovinare rispetto alle password pensate manualmente.

Buone regole per le password aumentano la protezione senza spingere gli utenti verso aggiramenti insicuri. Le regole sbagliate portano solo frustrazione e risultati peggiori.

Le password non sicure possono spesso essere identificate da modelli prevedibili, dal riutilizzo e dal tentativo di soddisfare regole minime con il minimo sforzo possibile.

I buoni esempi di password non mostrano modelli di copia esatti, ma piuttosto le differenze tra modelli deboli, password utilizzabili e varianti forti e casuali.

Gli errori più frequenti con le password sono schemi prevedibili, riutilizzo e combinazioni troppo corte. Sono proprio questi errori ad aprire più spesso la porta agli attacchi.

I caratteri speciali possono aiutare, ma non sono il fulcro della sicurezza della password. La lunghezza e la casualità sono quasi sempre le leve più forti.

Una password sicura è lunga, unica e abbastanza casuale da essere difficile da indovinare o riutilizzare dopo una fuga di dati.

I gestori di password non sono esenti da rischi, ma sono significativamente più sicuri per la maggior parte degli utenti rispetto al riutilizzo, al caos del browser e agli elenchi di password gestiti manualmente.

La password principale protegge l'intero caveau, quindi richiede standard più alti di una normale password di accesso: deve essere più lunga, più unica e più ragionata.

L'archiviazione nel browser è comoda, ma non sempre equivale a un gestore di password dedicato con un'architettura di sicurezza chiara e una migliore gestione.

Un password manager conserva, organizza e genera credenziali, così ogni account può avere una password forte e unica.

Le password non dovrebbero finire in note, fogli di calcolo, file non cifrati o nella memoria sostenuta da schemi ripetuti. Per la maggior parte delle persone, l'opzione più pratica e sicura resta un password manager.

Brute force e password spraying sono due attacchi diversi contro l'accesso: nel primo caso si provano molte password su un singolo account, nel secondo poche password comuni su molti account.

Il credential stuffing non utilizza la magia, ma la massa: le credenziali trapelate vengono automaticamente provate su molti altri servizi.

Il riutilizzo delle password è uno dei più grandi moltiplicatori del danno: una sola fuga può mettere subito a rischio più account insieme.

Un controllo delle perdite mostra se una password o dati associati sono apparsi in database noti di credenziali compromesse.

Se è trapelata una password, la velocità è importante: modifica la password, verifica il riutilizzo, termina le sessioni attive e attiva l'MFA.

Non tutti gli account hanno lo stesso peso. E-mail, banca e social richiedono priorità un po' diverse, ma alla base servono sempre password forti e uniche.

Le aziende non hanno bisogno di una politica sulle password eccessivamente rigida, ma di una politica che supporti abitudini sicure, MFA e processi chiari.

Le passkey allontanano l'autenticazione dalla password classica. Tuttavia, non risolvono tutte le domande di sicurezza e non eliminano le password dall’oggi al domani.

La MFA non sostituisce una password forte. Riduce il rischio al login, ma le password deboli o riutilizzate restano un vettore di attacco.

Non c'è bisogno di cambiare password senza motivo. Conta reagire ai rischi reali: fughe, riutilizzo, vecchie password deboli e accessi sospetti.

Se un servizio può decrittografare le password, è un segnale di allarme. I buoni sistemi di password di solito non necessitano affatto di questa funzionalità.

Argon2, bcrypt e scrypt sono metodi di hashing delle password con diversi punti di forza. I sistemi moderni spesso si affidano ad Argon2 se l'ambiente lo supporta correttamente.

Sale e pepper rafforzano la protezione degli hash delle password, rendono più difficili gli attacchi di massa e aumentano la resilienza del sistema in caso di fuga.

Hashing e crittografia vengono spesso confusi. Per le password, l'hashing è l'approccio giusto perché il server non dovrebbe essere in grado di recuperare la password originale.

Un sito fatto bene non conserva le password in chiaro. Usa invece hashing, sale e meccanismi di protezione moderni.