La settimana scorsa Yahoo! ha annunciato di essere stato oggetto di un attacco informatico con il furto e la pubblicazione di migliaia di password e username. Contro attacchi di questo tipo l’utente finale non ha la possibilità di difendersi efficacemente, anche se si possono limitare significativamente le intrusioni. Per questo nasce il Vademecum ESET NOD32, che fornisce un elenco puntuale delle 20 cattive e delle 10 buone regole da adottare quando si sceglie una password, per accedere a siti e servizi on-line. L’analisi dei dati sottratti ha infatti dimostrato come gran parte degli account trafugati avessero spesso password facili da indovinare o di uso molto comune (es. “password” o “123456”).  I 20 errori che un utente non deve mai commettere quando sceglie una password 1. Una parte qualsiasi del proprio nome 2. Il nome del proprio account, ovvero il cosiddetto UserID (identificativo utente). Di norma, per creare un account sono necessari due elementi: lo UserID, che molto spesso è rappresentato da un semplice indirizzo di posta elettronica, e una password. Mai usare come password il proprio UserID, devono sempre essere diversi l’uno dall’altra. 3. Qualcosa di meno lungo di 7 caratteri 4. Una parte qualsiasi del nome di un membro della propria famiglia (animali domestici inclusi) o, peggio, quello di un collega 5. Nomi di sistemi operativi 6. Numeri con significati particolari (ad esempio, numeri di telefono e targhe automobilistiche) 7. Nomi di luoghi 8. Cose preferite o più detestate 9. Facili associazioni con cose preferite o detestate: per esempio, “Aragorn” è una password pessima per un fan de “Il Signore degli Anelli” 10. Una qualsiasi parola dalla corretta grammatica, in inglese come nella propria lingua madre, specialmente quelle che con ogni probabilità sono incluse in dizionari di parole d’uso comune. Ad esempio, “il mio nome” è una password non idonea per chi parla italiano 11. Titoli di canzoni, persone famose, personaggi dei cartoni animati. In particolare evitare nomi quali “CharlieBrown”, “Snoopy”, “Kirk”, “Spock”, “McCoy”, “Pippo”, “Topolino” e così via. 12. Nulla di così difficile da ricordare tanto da richiedere di essere scritto da qualche parte 13. Nulla che sia scritto tutto in maiuscole o minuscole 14. Nulla con il primo o ultimo carattere in maiuscolo e con il resto in minuscolo 15. Nulla che sia stato usato come esempio per un testo. Ad esempio, il celebre “Lorem ipsum” 16. Nulla che contenga solo lettere dell’alfabeto 17. Stringhe di caratteri o numeri che abbiano un significato particolare: numeri di telefono, date di nascita e così via 18. Parole di uso comune e popolari come “wizard”, “password”, “oggi”, “AAAAAAA”, “QWERTYUIOP” e così via 19. Anagrammi di un qualsiasi esempio fatto sopra, specialmente se basati su una semplice inversione di caratteri 20. Variazione ovvie come il premettere o il far seguire un numero a uno degli esempi già fatti. Le 10 strategie migliori da seguire per scegliere una password sicura  1. Intervallare due parole. Ad esempio: Professor Putricide = PpRuOtFrEiScSiOdRe 2. Intervallare una parola con numeri. Esempio: Frodo 465 =  F4r6o5do 3. Concatenare due parole, possibilmente usando un simbolo come delimitatore. Esempio: Bilbo Baggins = biLbO^bAGGinS 4. Se consentito, inserire dei caratteri di controllo o simboli che non siano alfanumerici (!@#$%) 5. Usare appositamente degli errori ortografici. Esempio: Luna = lUhnNA 6  Maiuscole e minuscole usate in modo non ortodosso. Esempio: caPitaLiSation 7. Acronimi che hanno un significato personale. Esempio: ICRMPW (I Can’t Remember My Password) 8. Sostituire le lettere con numeri o caratteri equivalenti e le parole intere con abbreviazioni (esempio: “I love you too” = 1LuVu2) 9. Non usare la stessa password in posti diversi 10. Usare una combinazione di tutte le tecniche mostrate sopra