AGI - "La password più robusta è quella che non si riuscirà mai a ricordare se non scrivendola. Ma se la si scrive da qualche parte è molto peggio". È intorno a questo paradosso che Corrado Giustozzi, esperto di sicurezza informatica, affida all'AGI un ragionamento su come proteggere i nostri dati e quelli dell'azienda per cui lavoriamo dalle intrusioni malevoli di criminali informatici, come accaduto a un dipendente in smartworking della Regione Lazio, fatto che ha dato il via all'attacco hacker che in questi giorni ha messo in ginocchio i sistemi informatici regionali.
"Oggi vita privata e vita lavorativa online tendono sempre più a confondersi, e l'improvvisata adozione dello smartworking a causa della pandemia ha accelerato questo processo, aggravando la precarietà della sicurezza online di persone e aziende", spiega Giustozzi, già membro dell'Advisory group dell'Agenzia Ue per la Cybersecurity (Enisa), tra i maggiori esperti in Italia quando si parla di sicurezza.
No parole di senso compiuto o della nostra vita online
Per quanto nulla è del tutto al sicuro da un criminale informatico ben addestrato, per Giustozzi ci sono comunque delle buone pratiche da adottare: "In primo luogo la password deve essere sempre lunga e non deve avere in sè una parola di senso compiuto. Nel dizionario italiano ci sono meno di 800 mila lemmi, comprese le forme flesse, e un computer ci mette meno di una frazione di secondo a controllarle tutte".
In ogni caso, "è necessario utilizzare i caratteri speciali, ma senza esagerare perché usarne 4-5 in una password, tra punti e segni, diventa difficile mandarla a memoria". Se proprio non si riesce a fare a meno di utilizzare parole di senso compiuto, "sceglierne almeno due, sempre con caratteri speciali" e comunque "mai parole o nomi che possono essere facilmente riconducibili a noi, come il nome di nostra moglie o del nostro gatto, sono tutte informazioni che sono facilmente reperibili sui social, ormai tutta la nostra vita è online, e per qualcuno che vuole violare un nostro account orchestrare un tentativo di accesso con password legate a oggetti o persone che riguardano la nostra vita è piuttosto semplice".
Cambiare spesso password
Una password pero' non è per sempre. "Occorre cambiarla spesso, almeno una o due volte l'anno", continua Giustozzi. "perché nel dark web esistono dump con milioni di password, magari vecchie, e se si trova li' e verosimilmente è ancora buona un criminale informatico potrebbe provarla, accedere ai nostri account e magari leggere le nostre mail o svuotarci il conto".
Fondamentale pero' è non scriverle mai, da nessuna parte: "Se ci si scrive le password su file o su un foglio e mi rubano il file non c'è protezione che tenga". Un foglio elettronico? "Meglio, ma solo se protetto da password. Nulla che un criminale esperto non sappia violare, ma almeno è protetta da uno che puo' leggere il nostro schermo o accedere al nostro computer", spiega l'esperto.
Le app che aggregano le password
Esistono però anche applicazioni che rendono il servizio di custodia delle password: "Oramai ce ne sono migliaia, non saprei dire quali siano le migliori, ma offrono tutte un servizio simile con abbonamenti economici. Sono utili, con una password sola si conservano tutte le password che ci servono, una soluzione piuttosto sicura e comoda".
I rischi dello smartworking
L'urgenza di correre ai ripari sui temi della sicurezza è stata accelerata dai fatti della regione che ospita la Capitale, ma anche dallo smartworking, per Giustozzi vera causa scatenante della recrudescenza degli attacchi informatici: "Immagina, da un giorno all'altro tutte le aziende hanno dovuto far lavorare i propri dipendenti da casa. Ma il computer che usiamo a casa, seppure con la Vpn, non è protetto a sufficienza. Potrebbe non avere un antivirus aggiornato, o non averlo proprio. Potrebbe essere lo stesso usato dai nostri figli per giocarci, o da noi per fare la spesa. All'interno dell'azienda l'ambiente è controllato, fuori no. Si sono aperti varchi enormi nella sicurezza dei sistemi".
La Vpn non è sufficiente? "Affatto. Garantisce solo che dall'altra parte del computer ci sia tu, o meglio la tua utenza. Ma se con la macchina in uso si fa qualcosa di potenzialmente pericoloso, o si subisce una violazione, si mette a rischio l'azienda intera. Ci sono molte aziende che hanno adottato lo smartworking molto velocemente, obbligate dalla pandemia, e lo hanno fatto mandando a casa i propri dipendenti sperando che non accadesse nulla di grave o di compromettente. Purtroppo spesso non è andata cosi'", conclude Giustozzi. Come i fatti di questi giorni sembrano aver dimostrato.