La sicurezza dei nostri dati è importantissima, oggi più che mai. E proprio la password, che dovrebbe proteggere i nostri account, se gestita in modo sbagliato può essere proprio il punto debole.

Allora cerchiamo di capire insieme cosa fare per renderla il più possibile sicura e quali sono gli errori che possono renderla facilmente individuabile.

Iniziamo proprio da cosa NON dovremmo mai fare.

La mia password? 123456

Subito un consiglio importantissimo: non usate 123456 come password.

Come dite? Nessuno mai si sognerebbe di farlo? Strano, perché secondo uno studio del National Cyber Security Center (NCSC) del Regno Unito, alla fine di aprile 2019 circa 23,2 milioni di account in tutto il mondo sono stati violati, proprio perché la password era 123456.

Sorpresi? Allora leggete la classifica delle peggiori password del 2019, dove non solo al primo posto c’è 123456, ma al quarto c’è addirittura password.

Il secondo consiglio è: “non comunicate le vostre password ad amici, colleghi e parenti”. Anche questo sembra scontato, eppure un esperimento sociale di qualche anno fa, in cui un intervistatore telefonico chiedeva ai dipendenti di alcune aziende “se mi fornisce la sua password le invio in omaggio una penna”, ha avuto un numero sorprendente (e preoccupante) di risposte positive.

In generale, il principale errore che si fa nello scegliere una password è la semplicità: i consigli che più spesso si danno sono “non usare password corte” e “non metterci il nome dei tuoi figli o la loro data di nascita”. O più in generale, non usare nomi propri (anche di luoghi, personaggi famosi, film, canzoni) o parole presenti nei dizionari.

E’ giusto: se scelgo “aq123” come password, agli hacker di prima basterà un “brute force attack”, con tentativi basati su combinazioni di diverse lettere, per trovarla.

Se invece uso “antonio2001” o “scaldabagno99”, è facile per un hacker scoprirla, con un “dictionary attack”, usando un software che prova una per una migliaia di parole contenute in un dizionario.

Allora come è fatta una buona password?

“Che la forza sia con te”

In genere, si consiglia di usare una parola lunga almeno 8 caratteri e contenente almeno una lettera maiuscola, una lettera minuscola, una cifra e un carattere “speciale”, come @#$%!?.

Un buon modo per crearla automaticamente è l’uso dei servizi “strong password generator”, cioè generatori di password forti: sono strumenti disponibili online (come questo, ma ce ne sono molti altri), che creano una password casuale in base ad alcuni parametri, come lunghezza e tipi di carattere da inserire.

Per fare un esempio, V7@+!&PkX^pUnqev ha lunghezza 16 e contiene tutte le tipologie di carattere descritte poco fa. Quindi è considerata una password “forte”.

Cambiamola spesso? Anche no.

Eh sì, cambiare la password con regolarità è sempre stato considerato “un must” per garantire un livello di sicurezza costante. Di solito 60 o 90 giorni sono le durate più gettonate per la vita di una password.

Ebbene, secondo le ultime linee guida del NIST (National Institute of Standards and Technology), cambiare spesso la password NON aumenta la sicurezza del nostro account. Anzi, a volte può renderlo addirittura più facile da violare.

Pensiamo, ad esempio, che spesso si tende a sostituire una password con una simile, perchè una totalmente diversa diventa più difficile da ricordare. Se la mia password contiene un numero, mettiamo holistic77, quando sarò obbligato a cambiarla, potrei essere tentato di usare holistic78. Così non ho problemi a ricordarla. Di conseguenza al cambio successivo passerò a holistic79, poi 80 e così via. Ma, in pratica, è come non averla mai cambiata.

Una per tutte, tutte per una!

Allora, facciamo così: visto che tra banca, mailbox e servizi vari ho una quantità infinita di account da proteggere, uso la stessa password per tutti, così è tutto più semplice.

Certo, per gli hacker è decisamente più semplice! Possono violare tutti gli account in un colpo solo.

Se proprio non vogliamo impostare una chiave di accesso diversa per ogni nostro account, possiamo affidarci a un password manager. Si tratta di sistemi per gestire l’archivio delle proprie parole segrete; di solito comprendono un servizio online da browser e applicazioni scaricabili sui diversi dispositivi pc, tablet e mobile.

E come fa il password manager a proteggere le parole chiave archiviate al suo interno? Con la cosiddetta “master password”, . Una parola di accesso per dominarle tutte.

Ma è sicuro? Non torniamo alla situazione di prima? Non proprio, perchè ormai quasi tutti i password manager in circolazione usano algoritmi di crittografia molto sofisticati e meccanismi di controllo molto rigidi, che assicurano un livello di protezione elevato. E violare un password manager diventa molto, molto complesso.

Per sceglierne uno tra tutti quelli esistenti, che di solito hanno tutti un piano gratuito e uno a pagamento, in rete si trovano molti studi ben fatti che comparano i diversi password manager, presentando pro e contro. Basta scrivere “miglior password manager” o “best password manager” per trovarli, l’importante è leggerli con molta attenzione prima di scegliere.

E poi?

C’è molto altro da dire sulla questione delle parole di accesso, sulle loro estensioni e sul loro futuro, che in parte è già… presente.

Di questo e altro parleremo nel prossimo post. Stay tuned!