In un mondo iperconnesso è fondamentale usare una password sicura per proteggere l’accesso ai sempre più numerosi servizi online e mettere al sicuro i nostri dati e la nostra identità digitale.
Nella scelta di una password realmente a prova di hacker incidono due elementi fondamentali:
- la complessità della password stessa;
- la nostra capacità di memorizzarla.
Detti così, sembrerebbero essere in contraddizione tra loro: se è una sequenza difficile da scoprire, sarà anche poco mnemonica.
Per risolvere il problema di dover ricordare a memoria le tante password che usiamo ogni giorno, ci affidiamo ad alcune semplici regole, comuni ma non di buon senso. Tipicamente, infatti, le password corrispondono ad una di queste sequenze mnemoniche:
- il nome di un congiunto, del nostro animale preferito, di una persona cara;
- la nostra data di nascita o una data per noi memorabile;
- una semplice sequenza di numeri mnemonica.
Inoltre, per una pigrizia molto diffusa, spesso si commette l’errore di usare la stessa password per più utenze. In questo modo stiamo sicuramente aiutando la nostra capacità di memorizzarla, ma a costo di limitare la sicurezza.
Indice degli argomenti
Password sicura: i consigli per crearla
Come fare, dunque, ad elevare la sicurezza della sequenza scelta senza richiedere memorie mirandoliane? Si hanno due possibilità:
- allargare il set di caratteri utilizzati;
- usare una passphrase.
Facciamo un esempio pratico per capire di cosa stiamo parlando.
Nel primo caso, quello dell’allargamento del set di caratteri, supponiamo di utilizzare il nome di un congiunto, ad esempio Paolo.
Esso può essere scritto in almeno 4 modi distinti:
- paolo: tutte lettere minuscole; set di 25 caratteri;
- Paolo: lettere minuscole e maiuscole; set di 66 caratteri;
- Pa0lo: lettere minuscole e maiuscole, cifre da 0 a 9; set di 76 caratteri;
- P@ol0: lettere minuscole e maiuscole, cifre da 0 a 9, caratteri speciali; set di 128 caratteri (considerando punteggiatura, parentesi, @, #, €), il cosiddetto ASCII esteso.
Ciò significa che, poiché il nome è costituito da 5 caratteri, passiamo da 5^25 a 5^128 possibili combinazioni.
Nel secondo caso, quello dell’utilizzo di una passphrase, anziché usare una singola parola è possibile creare una vera e propria frase.
Posso sceglierne una che ricorda l’utenza che voglio proteggere per ricordarla meglio. Facciamo un esempio: se siamo su LinkedIn possiamo usare $0cI4lProf3s8ionale.
Con la passphrase crescono di conseguenza:
- la lunghezza della sequenza;
- il numero di combinazioni possibili;
- il tempo richiesto per decifrarla.
In una parola, la sicurezza.
Password sicura: i consigli per ricordarla
Scelta la password, dobbiamo conservarla e qui le possibilità sono essenzialmente due:
- ricordarla a memoria: si tratta di una soluzione perché non lascia traccia alcuna (niente file “segreti” archiviati nel computer o fogli di carta facilmente accessibili da un attaccante), ma che richiede grande metodo e applicazione viste quante se ne devono memorizzare;
- annotarla su un foglio di carta: il grande problema di questa soluzione è il dove annotare la password. Il post-it sul monitor o sotto la tastiera garantisce immediatezza, non sicurezza.
In alternativa, possiamo ricorrere ad un password manager, un programma che può essere visto come una vera e propria rubrica con una struttura del tipo:
- nome utenza;
- password di accesso.
Di password manager ne esistono due tipologie (limitandoci solo all’uso personale):
- cloud based
- locale
La prima tipologia consente a più dispositivi di utilizzare lo stesso database memorizzato nel cloud. È dunque più facile la condivisione e si può accedere al file senza doverlo inviare.
Un password manager locale, invece, sala la rubrica con le chiavi di accesso in un file archiviato nel computer. Ciò pone due problematiche:
- sicurezza. Visto il contenuto, occorrerà proteggere opportunamente la rubrica delle password:
- usando una password forte;
- ove possibile, criptandola (ma occorrerà ricordarsi la sequenza di decriptazione);
- usabilità. Le ragioni sono le seguenti:
- per usarlo su più dispositivi devo trasferire il file. Il trasferimento deve essere fatto in modo sicuro;
- ogni volta che aggiungo o modifico una password, devo trasmettere il nuovo database ai dispositivi che lo usano.
Il password manager è l’esempio tipico della necessità di una cultura della sicurezza.
Da un lato, infatti, abbiamo un file che contiene tutte le nostre identità digitali sul nostro PC (ad esempio). L’obbligo di proteggerlo dovrebbe spingere tutti a fare attenzione a:
- dove lo si salva. Se è sul mio hard disk e si chiama “password” sarà semplice per un malintenzionato trovarlo e usarlo a suo vantaggio. Se è su chiavetta o hard disk esterno dovrò collegare l’unità ogni volta che devo utilizzarlo. La memoria esterna, però, è soggetta a smarrimento più del PC vista anche la dimensione ridotta. Va dunque assunto un atteggiamento responsabile per conservarla opportunamente;
- creare copie, solo se strettamente necessario, in un numero facile da ricordare, conservate in tutti luoghi che si ricordano e protette opportunamente.
Dall’altro, per memorizzare le nostre password, abbiamo la possibilità di utilizzare uno spazio esterno, il cloud, che però:
- potrebbe chiudere;
- potrebbe impedirci l’accesso, ad esempio per il mancato pagamento dell’abbonamento mensile o annuale);
- potrebbe avere problemi tecnici;
- potrebbe accedere e leggere i nostri dati (se non espressamente negato nella privacy policy).
La crittografia, in questo caso, potrebbe rappresentare una prima soluzione. Essa può essere usata in due modi:
- criptando i database prima di caricarli su cloud. Vanno quindi decriptati prima di essere utilizzati;
- utilizzando quei fornitori di “nuvole” che criptano i file e utilizzano connessioni non trasparenti.
Come si vede, non ci sono pasti gratis. In ballo c’è la tutela dei propri dati e, per lo più, della nostra identità.
La scelta della soluzione cloud per il nostro password manager va attentamente vagliata e gli elementi da considerare sono:
- il numero di dispositivi che lo usano;
- la privacy policy del cloud utilizzato;
- la necessità di condividerlo.
Tra il dire e il fare c’è di mezzo… l’usare
Fin qui abbiamo descritto cosa può essere utile tecnicamente per creare e memorizzare una password sicura.
Quotidianamente, però, si riscontrano situazioni in cui:
- la password dei dispositivi è quella impostata in fabbrica;
- alcune utenze (magari anche riguardanti informazioni critiche) non hanno password;
- la stessa password viene usata per utenze private e aziendali;
- il manager aziendale conosce tutte le combinazioni di accesso ai sistemi dei suoi collaboratori e, a volte, anche tra colleghi non ci sono segreti.
Proviamo a valutare questa situazione di quotidiana sicurezza informatica da un punto di vista difensivo. L’atteggiamento tipico è: “a me non capita”. Siamo pienamente d’accordo. Ma se, per congiunzione astrale sfavorevole, o, con maggior realismo, per mancanza di formazione o dolo, dovesse capitare un furto di dati aziendali (data breach) o un accesso non autorizzato alle infrastrutture che ha creato danni, come spieghiamo all’autorità di controllo (ad esempio il Garante privacy) che noi abbiamo fatto tutto il possibile per evitare il danno (il famoso principio del “buon padre di famiglia”)?
Qualunque investigatore partirebbe da una analisi della situazione:
- presenza di una password sicura;
- livello di segretezza delle coordinate di accesso;
- livello di difficoltà;
- frequenza di aggiornamento della password.
Se si scopre che, in azienda, tutti sanno tutto con chi ce la prenderemmo?
L’investigatore sicuramente con la proprietà e, alla luce delle raccomandazioni di accountability accentuate con l’entrata in vigore del GDPR, oltre a non avere su chi rivalersi rischiamo di prendere multe salate.
A questo punto, cambia la domanda: tra il dire e il fare c’è di mezzo l’aver fatto sempre così. Alla luce di quanto indicato, è molto utile se non doveroso aggiornare le prassi. Si evita, così, di rispondere della “pigrizia”.