Password perchè devono essere sicure

5/5

I nostri dati sono prezioni ecco perchè li dobbiamo difendere

I dispositivi digitali ed internet sono diventati onnipresenti, ci permettono di comunicare con amici e parenti anche lontanissimi, fare acquisti, pagare bollette, sbrigare tutta una serie di commissioni che una volta ci rubavano molto più tempo ed energie.
Una vera rivoluzione, per lo più positiva, che però ci pone anche di fronte a nuove sfide.
Da quando usiamo la rete abbiamo fornito i nostri dati personali a un gran numero di imprese che forniscono altrettanti servizi: la banca, la Pubblica Amministrazione, social newtwork, siti informativi e i siti di shopping on line.
Per creare un account su ognuno di questi siti abbiamo dovuto mettere alcuni dei nostri dati, come nome, cognome, data di nascita, email e password che utilizziamo ogni volta che vogliamo accedere a questi siti.
I servizi web si sono moltiplicati, e con essi la necessità di “inventare” (e ricordare) sempre nuove password.
La creazione di una password davvero efficace, però, richiede una certa dose di conoscenza e un pizzico di strategia.

Cos’è una password e perché è così importante?

La password possiamo paragonala ad chiave che normalmente usiamo per aprire l’auto o la porta di casa.
La più semplice delle chiavi possiede una seghettatura su un lato che fa presa nelle “dentature” del chiavistello.
Per aprire la porta di casa, serve proprio quella chiave lì. È inutile provarci con quella del garage oppure della macchina.
La password che scegliamo per accedere ad un sito web o alla posta elettronica, è l’unica chiave in grado di aprirla e farci accedere al contenuto.
Più la chiave è semplice, più lo scassinatore ha vita facile. Così se scegliamo una chiave seghettata da entrambi i lati, mettiamo un piccolo ostacolo in più fra noi e chi ci minaccia.
Ora, proviamo a pensare a un tipo di password molto usata benché molto inefficace, un semplice nome (“Emma”, password alfabetica) come alla chiave più semplice; poi pensiamo allo stesso nome più un numero come alla chiave con doppia seghettatura (“Emma18”, password alfanumerica); è facile accorgersi che la seconda anche se debole è un poco migliore della prima: cresce la complessità, aumenta la sicurezza.
Se a casa abbiamo fatto montare una doppia serratura o addirittura una porta blindata, come mai per proteggere la nostra identità sul web ci accontentiamo di una chiave seghettata?
La posta in gioco è la stessa: valori, materiali e affettivi.

Perché dovrebbero rubarmi la password?

“Non sono mica un personaggio famoso, perché dovrebbero spiarmi?”.
Il fatto è che il bersaglio tipo dei ladri digitali è proprio la persona comune.
Banalmente, qualcuno potrebbe “scroccarci” la connessione wifi.
Ma a fare gola non sono tanto i soldi, quanto i nostri dati personali.
Talvolta il fine di chi viola questi dati (anagrafici, fiscali, addirittura bancari) è il furto d’identità, un reato punito con la reclusione che si configura quando il ladro utilizza i nostri dati per commettere altri reati, progettando di far ricadere su di noi la responsabilità.
È un po’ quello che accadrebbe se qualcuno si appropriasse delle nostre credenziali su Facebook e si mettesse a postare a nostro nome affermazioni contrarie alla nostra morale, a insultare i nostri amici o addirittura a mandare loro virus.
I nostri dati possono essere usati anche per attingere ai nostri risparmi o per estorcerci denaro col ricatto.
Tutto questo, ricordiamolo, solo riuscendo a forzare la password, quella serratura un po’ antiquata di cui ci siamo fidati troppo.

Troppo tardi, me l’hanno già rubata. E ora?

Niente panico.
Prima di tutto inquadriamo la situazione. Ci è arrivata una mail da parte del gestore di posta (o di Facebook, o di un sito dove siamo soliti fare acquisti) che ci avverte che la nostra password potrebbe essere stata violata? O che c’è stato un tentativo sospetto d’accesso al nostro account da un luogo molto diverso e distante da dove ci troviamo?
Bene, dopo esserci accertati che l’email è affidabile e non anch’essa un tentativo di “phishing” (una pratica illegale volta a carpire i nostri dati tramite una mail che ci indirizza a siti “fasulli”, che imitano ad esempio il nome e la grafica della nostra banca o del nostro gestore di posta) generalmente basterà sostituire la password violata.
Fortunatamente, infatti, anche i gestori di posta, le banche e i negozi online hanno i loro sistemi di sicurezza e spesso riescono a individuare e bloccare tentativi di violazione prima che vengano portati a termine.
Se abbiamo la cattiva abitudine di usare la stessa password per più siti, questo è decisamente il momento di accantonare la password compromessa e iniziare a diversificare.
Diverso è il caso se crediamo che ci abbiano rubato l’identità, o anche i dati della carta di credito. Di nuovo, può aiutarci un’analogia: vi hanno mai rubato l’auto?
Ricorderete che siete corsi a denunciare il furto perché, vi hanno detto, qualcuno avrebbe potuto commettere dei reati (per esempio una rapina in banca) con la vostra macchina. Attraverso la targa poi la polizia sarebbe risalita alla vostra identità e, in assenza di denuncia, per voi sarebbero stati guai.
Ecco, siamo più o meno nella stessa situazione: la prima cosa da fare è segnalare il fatto alla Polizia Postale, così da dissociare la nostra identità da tutti gli eventuali usi illeciti che ne verranno fatti.
Inoltre, chiamiamo la banca e blocchiamo le carte di credito. Se ci hanno già rubato dei soldi, possiamo chiedere un rimborso: abbiamo buone probabilità di ottenerlo.

Cos’ha la mia password che non va?

Come sono fatte le password deboli

Sono molti i fattori che rendono debole, e quindi facilmente violabile, una password.
Non dobbiamo pensare a una persona che cerca di ricordare come si chiama la nostra nipotina; i criminali digitali utilizzano dei software, vale a dire dei programmi che in maniera veloce e automatica generano moltissimi tentativi basati sulle più frequenti modalità con cui inventiamo le password. Per questi sistemi è uno scherzo decodificare “Emma” (ma anche “Emma18”).
Sono facili da decodificare anche combinazioni di numeri; frasi (“amoigatti”), frasi in lingue straniere (“ilovecats”), parole al contrario (“Amme” anziché Emma).
I “leet”, cioè quei modi di scrivere frasi o parole sostituendo ad alcuni caratteri alfabetici numeri o simboli (“3mm4” al posto di Emma; “am0!g4tt1” anziché “amoigatti”), un tempo erano considerati un mezzo efficace per aumentare la sicurezza delle password. Non è più così: i software sono stati aggiornati in questo senso e ora sono attrezzati per decodificare anche questo tipo di scrittura.

Come creare una password sicura

Quali sono le caratteristiche di una password perfetta? Ecco un decalogo di buone regole che possono aiutarci a crearne una.

  • Una buona password deve essere lunga. Almeno 8 caratteri o anche di più perché, proprio come la combinazione di una cassaforte, tanti più elementi ci sono da indovinare tanto più cresce (ed esponenzialmente) il numero di tentativi da mettere in atto per scoprirli.
  • Una combinazione di lettere sia maiuscole sia minuscole, numeri e caratteri speciali (come le lettere accentate e i simboli matematici) aumenta ulteriormente la complessità della password, rendendola più difficile da decodificare.
  • È del tutto sconsigliato inserire nella password dati personali, meno che mai il nostro nickname, il nostro nome o quello del nostro blog: questi dati infatti sono visibili a tutti.
  • Va evitata la prevedibilità: perciò niente sequenze di numeri come 1234 o 1111, frasi di senso compiuto, nomi di attori famosi, atleti, cantanti, nomi di figli, nipoti, animali domestici.
  • È indispensabile usare una password diversa per ognuno degli account posseduti.
  • La password ideale non è immutabile: va cambiata con cadenza regolare.
  • Infine, mai condividere con nessuno né custodire la password in luoghi (reali o virtuali) accessibili a qualcuno che non siamo noi.

Non c’è niente che io possa fare per facilitare un po’ le cose?

Certo che sì.
Un modo per aumentare il nostro livello di sicurezza è l’autenticazione multi-fattore, una procedura selezionabile per molti servizi (per esempio Gmail) che effettua il nostro riconoscimento avvalendosi di più canali. Inseriamo nome utente e password e in aggiunta ci viene richiesto, per ulteriore sicurezza, un codice ricevuto via sms.
Oppure possiamo optare per un Password Manager.

Password Manager: cos’è, a che serve, quale fa al caso nostro.

Se la password è la cassetta di sicurezza, un Password Manager è il caveau: il sotterraneo blindatissimo dove le banche custodiscono valori e documenti della massima importanza.
Una sorta di luogo virtuale dove possiamo tenere al sicuro tutte le password.
Come si apre? Con una password, naturalmente. La “password delle password”, la Master Password.
Uno dei più grandi vantaggi è che dobbiamo ricordarci solo quella.
Lo svantaggio è che dimenticarla o, peggio, subirne il furto, non è un problema da poco.
Quindi, se scegliamo di utilizzare un Password Manager creiamo per lui una password ultrasicura e non dimentichiamola mai.
I password manager, oltre a custodirle e proteggerle, generano le password per noi; le cambiano periodicamente, ne verificano la sicurezza nel tempo e quindi in caso di tentativo di violazione sono in grado di intervenire tempestivamente.
Noi ve ne presentiamo tre:

  • Keepass (gratuito): il più usato (e probabilmente valido) password manager gratuito, disponibile per tutti i dispositivi: fisso, mobile, Windows, Mac, Android, Ios. Custodisce, genera password sicure e vigila sulla loro efficacia nel tempo. Unico neo: l’interfaccia grafica non sempre intuitiva.
  • 1Password (a pagamento): un ottimo strumento disponibile per ogni piattaforma, completo, facile, intuitivo. Ricco di funzioni tra cui quella “viaggio”, in grado di proteggere i nostri dati in momenti delicati come quelli in cui attraversiamo i confini nazionali. Vi sono vari piani tariffari tra cui scegliere, a partire da 1.50 dollari (circa 1,40 euro) al mese (se si sottoscrive il piano annuale; altrimenti i dollari diventano 2.99).
  • Nordpass (gratis e a pagamento): paragonabile a 1Password, ma un po’ meno intuitivo; ne esiste una versione gratuita utilizzabile su un solo dispositivo; compatibile con ogni piattaforma. La versione a pagamento parte da 1,39 euro al mese se ci si abbona per due anni; sale a 1,79 per un anno.

Tutti questi password manager utilizzano la tecnologia ZeroKnoledge, che cripta i nostri dati prima ancora che siano salvati sul server dei fornitori del servizio.
Se dovessimo orientarci su un altro software (ne esistono tanti, anche molto validi, come Keeper, o Msecure) accertiamoci che abbia questa caratteristica.

Condividi