Le cose da sapere sul ripristino delle password

Dopo aver seguito questi consigli per creare una password che sia davvero sicura ti è accaduto di dimenticarla o perderla e quindi di seguire le procedure per il ripristino?

Questa è un’evenienza molto comune, ma quanto sono sicure le procedure per recuperare le password? Queste differiscono molto in base al servizio, ma in genere consistono nel reset della password che viene sostituita con una nuova in automatico e comunicata via email al proprietario dell’account, a volte solo se si è in grado di fornire la risposta corretta a domande che sono state compilate nella fase di iscrizione.

Per questo, di solito, è necessario scegliere quali risposte dare a domande come “qual è il cognome di tua madre da nubile?”, oppure “qual è il nome del tuo primo animale domestico?” o ancora “qual è l’indirizzo della tua scuola elementare?”.

In alternativa, esiste il sistema dell’autenticazione a due fattori, che può essere utilizzato sia per l’accesso che per il ripristino password e sfrutta un altro device (in genere uno smartphone o un cellulare sui cui ricevere un sms) per aumentare la sicurezza di un account.

Vediamo quali sono i rischi per i dati quando si perde una password o non si riesce ad effettuare correttamente il ripristino.

Gli errori più comuni nella scelta della password

C’è una ricerca realizzata da BitDefender, oltre il 70% degli utenti usa la stessa password per accedere a servizi diversi: questo è il primo errore da non fare, poiché può accadere che una falla nella sicurezza di una sola delle piattaforme che usiamo (che sia la mail o anche un sito di streaming o un social), comporti la perdita dell’accesso ad altri account con un effetto a cascata.

In questo caso si consiglia di usare sempre combinazioni diverse, a costo di fare uno sforzo mnemonico aggiuntivo che sarà però ricompensato con una maggiore sicurezza dei propri dati.

Inoltre, solo l’1% degli utenti afferma di utilizzare stringhe alfanumeriche sufficientemente complesse, mentre la stragrande maggioranza arriva al massimo a password di circa 6 oppure 8 caratteri (oggi è il minimo richiesto per la maggior parte degli account), talvolta senza caratteri speciali e senza pensare alle possibili conseguenze di avere una password debole.

Quali sono le tecniche più comuni per sottrarre le password

La tecnica più nota è probabilmente il phishing, cioè la richiesta di una password tramite email ingannevoli e pagine web fake ma molto simili a quelle originali che convincono l’utente a inserire le proprie credenziali, inviandole così direttamente ai malintenzionati.

La tecnica del brute forcing, invece, è basata sulla ricerca di tutte le possibili parole e numeri che rappresentano la stringa di sicurezza. Occorre distinguere un attacco diretto a una password da un attacco verso chiavi di cifratura, poiché queste sono costituite da sequenze di caratteri senza alcun significato, mentre le password possono avere delle parole di senso compiuto. Per questa ragione è sempre sconsigliato usare parole di senso comune nelle password ed è meglio aggiungere sempre dei caratteri speciali alla sequenza scelta.

Se il malintenzionato conosce la risposta alla domanda che il servizio ci propone in caso di smarrimento password può bypassare le procedure di recupero e questa è un’ulteriore tecnica di sottrazione della password, o meglio di accesso a un account resettandola all’insaputa del proprietario. Questo può accadere perché a volte, involontariamente, lasciamo informazioni sensibili a disposizione di tutti sui social, rendendole accessibili anche a chi non è in contatto con noi e che potrebbe usarle per riuscire a recuperare la password della mail o magari del conto bancario.

Oltre al consiglio di cambiare di frequente tutte le password si può anche cercare di confondere le idee a chi vorrebbe sottrarci i dati, usando come risposta alla domanda “Qual è il cognome di tua madre da nubile?” quella di “Qual è il nome del tuo gatto?” e viceversa, così da rallentare le azioni del malintenzionato.

Per quanto riguarda la protezione dei principali account, si raccomanda di consultare le linee guida di Google https://support.google.com/accounts/answer/185839?co=GENIE.Platform%3DAndroid&hl=it per l’autenticazione a due fattori, seguire la procedura consigliata per il recupero dell’Apple ID https://support.apple.com/it-it/HT5787 e questa guida per gli account Microsoft https://support.microsoft.com/it-it/help/12408/microsoft-account-how-to-use-two-step-verification per sapere come proteggersi, oltre a seguire le best practice consigliate.