Come rendere sicuro username e password per proteggere l’identità informatica

Username e password

Una soluzione informatica per gestire l’accesso ad una risorsa, la più semplice, ma anche la più diffusa, è senza dubbio la coppia username e password.
Lo username definisce il nome con il quale l’utente viene riconosciuto all’interno del sistema informatico, dev’essere quindi un nome identificativo e univoco. Come venga stabilito dipende dal sistema in cui si ci trova, può essere deciso dall’utente al momento della registrazione, oppure, per motivi di chiarezza e coerenza, può essere composto dall’organizzazione stessa, ad esempio dalla sequenza nome.cognome.

Come rendere sicuro username e password per proteggere l'identità informatica

Una password è una sequenza di caratteri alfanumerici che, assieme allo username, rappresenta le credenziali di accesso per una risorsa informatica. Mentre lo username è un nome pubblico, con cui si viene riconosciuti nel sistema, la password dovrebbe rimanere segreta, addirittura non dovrebbe neanche essere mantenuta nel sistema stesso, ma dovrebbe essere mantenuta una copia criptata con un algoritmo hash (ad esempio MD5) in modo da poterla confrontare con la password originale al momento dell’autenticazione, ma non di poter risalire ad essa. La password si riconosce nel paradigma di autenticazione “qualcosa che sai”.

L’autenticazione con username e password non è sicuramente fra i metodi più sicuri poiché lo username è un nome conosciuto e la password è una semplice sequenza di caratteri che può essere, più o meno facilmente, individuata. Per evitare questo, un’organizzazione può stabilire una serie di politiche di gestione delle password per rendere il sistema informatico più sicuro, ad esempio può obbligare gli utenti a scegliere password complicate e a cambiarle periodicamente. Alcune norme elementari di sicurezza per la scelta della password sono le seguenti:

Nel determinare una password è da evitare l’uso di parole ovvie (come il proprio nome o cognome o altri dati anagrafici), di senso compiuto o direttamente associabili all’account (come l’username stesso) come anche di parole troppo brevi (di solito per le password viene stabilito un numero minimo di caratteri dal momento che all’aumentare del numero di caratteri aumenta esponenzialmente il numero delle disposizioni possibili).
È preferibile utilizzare una password complessa e sforzarsi di memorizzarla piuttosto che sceglierne una di facile memorizzazione ma di più facile determinazione.
È da evitare l’utilizzo di parole presenti nei dizionari, come anche anagrammi o combinazioni delle stesse (tale tipo di password sono quelle più facilmente attaccabili mediante attacchi a forza bruta), mentre è consigliabile utilizzare combinazioni del maggior numero possibile di “tipi” di caratteri: maiuscoli, minuscoli, numeri e caratteri speciali.
È buona norma variare le password utilizzate dopo un tempo determinato e non utilizzare la medesima password per più risorse.