Non ci si rende conto di quanto siamo dipendenti da password e codici di accesso. Ormai i numeri, le lettere di questi codici ci rimbalzano in testa e a volte i cassetti della nostra memoria non sono di aiuto. Anche per questo motivo, anziché ingegnarsi in svariati modi per potersi ricordare a memoria tutte le credenziali, è utile concentrarsi su una corretta gestione delle password.
Da poco è intervenuto sul tema anche il Garante Privacy con una nuova infografica utile per scegliere una password sicura e per conservarla in maniera protetta. Questa consuetudine non è solo da adoperare nella sfera personale ma anche in tutti gli ambiti aziendali. Pensiamo, tra l’altro, a tutte quelle credenziali che un dipendente gestisce per conto del proprio datore di lavoro per avere autonomia gestionale.
Ebbene, i suggerimenti in esame svolgono una vera e propria funzione di educazione digitale, una delle mission del Garante della Privacy.
Indice degli argomenti
Gestione delle password: come sceglierle
Quindi la password che sia lavorativa o privata è bene segua delle regole di buona prassi. Vediamole in dettaglio.
La lunghezza della password
La consuetudine vuole che la lunghezza minima della password sia di almeno 8 caratteri, più i caratteri aumentano, più la password può essere considerata “forte”. Il Garante suggerisce intorno ai 15 caratteri. Diciamo che ogni carattere in più aumenta la complessità della password.
Tipologie di caratteri
Più la password è composta da caratteri diversificati più sarà infallibile. I caratteri possono essere lettere maiuscole, lettere minuscole, numeri e tutti quei caratteri speciali che si dissociano dall’alfabeto usuale (tra cui anche simboli, trattini). Questo perché viene aumentata le possibilità di combinazione necessarie per carpire la password oltre che i tempi di decriptazione da parte di hacker.
Le parole di uso comune
Si conviene che l’utilizzo di parole di fantasia sia maggiormente sofisticato da indovinare. Vi sono programmi creati ad hoc che cercano di azzeccare la password utilizzando tutte le parole in uso comune. Non solo. Anche l’utilizzo di vecchie password non è un sistema sicuro.
Cambio password
La password dovrebbe avere sistematicamente una scadenza. Tendenzialmente un termine adeguato potrebbe essere di 6 mesi. Quindi come canone da tenere in considerazione è sicuramente una retention determinata, oltre che la scadenza deve avere un termine veritiero e fattibile.
Dipende dai casi ma a volte una scadenza di 3 mesi risulta troppo esigua. Anzi si corre il rischio di avere una policy di retention non attuabile. Pertanto si consiglia una scadenza praticabile proprio a livello operativo.
Nel caso di password temporanea, ad esempio quelle che vengono inviate di default, si consiglia di modificare le stesse in primo accesso in modo da rendere personalizzato l’account.
Di sicuro sappiamo, ma questo è provato, che l’autenticazione a un sistema tramite più fattori rafforza maggiormente la protezione delle password. Vi sono di fatto più step da cogliere da parte di soggetti terzi che volessero fraudolentemente infiltrarsi negli account altrui.
Gestione delle password: la riservatezza
Altro tema alquanto importante è la riservatezza delle credenziali, tra cui la password stessa. Capita molto spesso di vedere negli uffici post-it con nome utente e password. Livello di protezione di questo dato? Pari a zero. Un’altra metodologia diffusa è un foglio cartaceo con l’elencazione di tutte le credenziali d’ufficio conservato nel cassetto della scrivania, accessibile a chiunque oppure un foglio Excel in una cartella ad accesso condiviso tra molti soggetti. La riservatezza in questi casi non è tenuta in debito conto.
Non solo. La stessa condivisione con altri soggetti può comportare problemi. Le credenziali sono e debbono rimanere ai singoli, ovvero in alcuni ambiti, basti pensare ad ambienti di lavoro, devono essere limitate ad un numero definito di soggetti. Anche se l’ideale comunque sarebbe un numero dispari minore di 3, se possibile.
I 10 migliori password manager: cosa sono, come usarli e perché sono utili anche alle aziende
Gestione delle password: conservarle in modo sicuro
In ultimo, un’accortezza non tenuta in considerazione ma che ha risvolti enormi, è la memorizzazione delle password in automatico all’accesso. Questo si avvera molto spesso ovvero una volta loggati, capita ci venga chiesto: “Vuoi salvare la tua password?”. È sicuramente ingegnoso ma a scapito della sicurezza dell’account. Se quel PC venisse sottratto o trafugato? E se fosse oggetto di hackeraggio cosa può accadere?
Pensiamo all’utilizzo di una VPN aziendale con credenziali già salvate, se il pc venisse crackato, quanto semplice sarebbe per un terzo entrare nella rete aziendale in nome e per conto dell’utente accreditato?
In aggiunta, ci sono poi casi in cui le proprie credenziali vengono salvate in pc altrui, perché in un determinato frangente si è fatto uso di un device di un amico o collega. Orbene, motivo in più per non salvare alcuna password in maniera automatizzata.
Quindi è necessario riporre la massima attenzione nell’implementazione di sistemi di autenticazione automatizzata.
E allora come ricordarsi queste password?
Ancora una volta ci viene in aiuto la digitalizzazione ovvero l’evoluzione tecnologica. Nel mercato sono disponibili svariate applicazioni che possono sollevarci da questo compito. La scelta dell’applicazione però non può omettere una misura di sicurezza importantissima ossia la cifratura dei dati.
