Michele Longobardi
Le password non sono sempre le migliori misure di sicurezza nell’attuale panorama web. Sono difficili da creare e gestire e troppo facili da compromettere. Questo perché la maggior parte delle password segue schemi prevedibili e/o utilizza una combinazione di parole comuni che gli hacker hanno imparato a decifrare.
Una persona, in media, ha almeno 100 password per proteggere tutti i suoi account online. Per la maggior parte delle persone è difficile tenere traccia di un numero così elevato di password, quindi si ricorre all’uso di parole facili da indovinare o di poche combinazioni che vengono riutilizzate per tutti i gli account. Nessuno dei due approcci è sicuro contro gli hacker e altri agenti maligni online, come i virus informatici.
Ma c’è una minaccia ancora più grande: l’intelligenza artificiale. L’ascesa dell’Intelligenza Artificiale ha fatto il giro delle cronache recenti e ci sono diversi dibattiti in corso su ciò che la nuova tecnologia potrebbe significare per diverse aree della vita. Tra queste c’è la cyber-security.
Le IA nelle mani sbagliate
Le intelligenze artificiali possono essere utilizzate in modo malevolo se cadono nelle mani sbagliate. Questo è vero un po’ per tutte le cose esistenti nel mondo, d’altronde una pistola non spara se non c’è qualcuno che preme il grilletto. Le IA possono dare una grossa mano ai cybercriminali che trovano in esse una risorsa da cui potrebbe diventare quasi impossibile proteggersi.
Le IA possono creare spam, phishing o altri attacchi informatici. Questi cybercriminali possono utilizzare l’IA anche per generare e-mail o messaggi di testo apparentemente legittimi per ottenere le credenziali di accesso o altre informazioni riservate dalle vittime.
Inoltre, l’IA può essere utilizzata anche per portare avanti la guerra cibernetica e la guerra informatica, come la creazione di malware avanzati che possono facilmente sfuggire alle tradizionali difese antivirus o per la manipolazione delle informazioni durante le elezioni o in altri contesti politici.
Questa IA ruba le password, attenzione
Secondo un rapporto della società di sicurezza informatica HomeSecurityHeroes, uno strumento di cracking delle password chiamato PassGAN (Password Generative Adversarial Network) è in grado di violare il 51% delle password più comuni in meno di un minuto, il 65% in meno di un’ora, il 71% in meno di un giorno e l’81% in meno di un mese. L’azienda ha utilizzato lo strumento per analizzare oltre 15 milioni di credenziali dal database Rockyou di password trapelate e i risultati hanno fatto luce su ciò che rende una password debole o forte.
PassGAN impiega in media meno di sei minuti per decifrare qualsiasi tipo di password con meno di otto caratteri, che contenga o meno simboli. Le password numeriche offrono una maggiore sicurezza: PassGAN impiega almeno 10 mesi per decifrare le password solo numeriche, ma solo se hanno più di 18 caratteri.
Come funzionano le IA che rubano le password
Nel cracking tradizionale delle password, gli hacker confrontano un elenco di parole con i risultati di un database di password “leakate” o comuni, quindi cercano di indovinare altre possibili password basandosi su varianti di quelle.
Con le IA che decifrano le chiavi d’accesso, questo processo diventa autonomo. In una frazione del tempo richiesto dagli hacker umani, gli algoritmi di apprendimento automatico come quello utilizzato da PassGAN possono rapidamente imparare a svelare delle password reali partendo da quelle che risultano essere state scoperte in attacchi informatici precedenti. Ad esempio, se una password come “password” compare in una lista di chiavi già trafugate, i cracker di password basati sull’intelligenza artificiale possono generare varianti di quella credenziale come “Passw0rd” o “p@ssw0rd” come possibili dati d’accesso di altri account.
Come creare password sicure dall’IA
Un modo per garantire che le vostre password siano a prova di hacker è quello di utilizzare almeno 15 caratteri, con un mix di lettere maiuscole e minuscole, numeri e simboli. È improbabile che riusciate a trovare una combinazione simile per tutti i vostri account, quindi vi consigliamo di utilizzare password generate automaticamente. Per questo motivo è consigliabile utilizzare un password manager, che genera password forti per i vostri account, le salva e le compila automaticamente quando necessario.
Assicuratevi di non riutilizzare le password per diversi account. Le password riutilizzate sono facilmente compromesse perché gli hacker possono accedere a tutti gli altri account se uno di essi viene violato.
Aggiornate regolarmente le vostre password. McAfee, nota azienda che si occupa di antivirus e VPN, consiglia di cambiarle ogni tre mesi, o prima se uno dei vostri account è stato coinvolto in una violazione dei dati. Inoltre, è bene aggiungete un ulteriore livello di sicurezza agli account come l’autenticazione a due o più fattori.
Le password più usate sono anche le più deboli
Le password più utilizzate in Italia sono spesso molto deboli e facilmente attaccabili da parte di hacker, in quanto molte persone utilizzano ancora password comuni e semplici da indovinare.
Secondo diverse analisi, le password più utilizzate in Italia sono spesso costituite da sequenze di numeri e lettere facilmente indovinabili, come “123456”, “password”, “qwerty”, “123456789” o “iloveyou”. Queste password sono molto deboli perché sono facili da individuare attraverso tecniche di forza bruta, ovvero tentativi di accesso automatici che provano una grande quantità di password fino a trovare quella giusta.
Inoltre, molte persone utilizzano la stessa password per diversi account online, il che aumenta il rischio di hacking in caso di compromissione di uno di questi account. Anche l’uso di password troppo semplici, come il proprio nome o la data di nascita, può essere facilmente indovinabile da un hacker.
Per evitare di utilizzare password deboli e facilmente attaccabili, è importante scegliere password complesse e uniche per ogni account, utilizzando una combinazione di numeri, lettere maiuscole e minuscole e caratteri speciali. Inoltre, è consigliabile utilizzare strumenti come i gestori di password per creare e gestire password complesse in modo sicuro e facile. Infine, è importante evitare di condividere le proprie password con altre persone e di utilizzare la verifica in due passaggi ogni volta che è possibile, per aumentare ulteriormente la sicurezza dei propri account online.