Password, se avete queste abitudini è ora di cambiare strategia

Features
Di Marco Doria
Pubblicato

La Giornata Internazionale della Password è un ottimo momento per ripensare a come gestiamo i nostri account online

Password
(Immagine:: (stock.adobe.com © jamdesign))

Il 5 maggio è la Giornata Internazionale della Password, una buona occasione per riflettere un attimo sul modo in cui gestiamo e conserviamo le nostre password.

Ci è stato sempre raccomandato di usare password univoche, con caratteri diversi (possibilmente casuali) per ogni singolo account online. Ma tra il dire e il fare c'è di mezzo il mare di siti, servizi, strumenti, app che utilizziamo ogni giorno.

D'altronde come diavolo è immaginabile il poter ricordare a memoria stringhe casuali e tutte diverse per i nostri account Facebook, i client e-mail come Gmail, Twitter, Instagram, Steam, Xbox Live e chi più ne ha più ne metta?

E quindi? Quindi ci ritroviamo spesso a riutilizzare la stessa password su più siti. E fin qui tutto ok (spoiler: no), almeno finché utilizziamo una password complessa, magari composta da numeri, simboli, maiuscole e minuscole. "Ma no! Figurati se mi metto a battere a caso sulla tastiera come un primate!", e quindi eccole, già le visualizzo, quelle password come "nome+cognome+anno di nascita" o, ancora peggio, la combinazione della valigia del Presidente Scrocco (vedi video sotto).

Se ricordate questa scena di Balle Spaziali, la parodia di Guerre Stellari (oggi è il 4 maggio, coincidenze?), non potrete non ridere al pensiero di usare un codice in sequenza per una password.

Eppure, ecco la bomba: secondo una ricerca condotta da NordPass, "123456" rimane una delle password più popolari fra imprenditori e dirigenti aziendali di altro livello. Quel vecchio volpone di Mel Brooks ci aveva visto lungo!

Poi magari c'è chi fa quel mezzo sforzo in più e differenzia le proprie password... per poi salvarle in file di Word, Excel o, ancora peggio del Blocco note, facilmente accessibili da chiunque, sia offline (soprattutto se non proteggete il vostro sistema operativo con una password, un PIN o altri metodi di autenticazione come Windows Hello), che online, soprattutto se vi capita di finire nella trappola di un tentativo di phishing o vi beccate un ransomware perché non avete riconosciuto un messaggio fasullo da parte di un presunto collega o amico che a sua volta ha fatto quel test per capire che tipo di ortaggio è e si è trovato il profilo hackerato senza nemmeno capire come.

Non fate finta di nulla, almeno una volta nella vita abbiamo commesso prodezze di questo tipo. Nemmeno chi vi scrive è stato esente dalla pessima abitudine di riciclare una password o salvarla su un file volante in bella mostra sul desktop.

Eppure esistono soluzioni e strategie per aumentare la sicurezza quel tanto che basta per non esporsi alla vergogna di chiedere aiuto a quell'amico smanettone che abbiamo tutti o, peggio, al responsabile IT del proprio team. "Sai, ho cliccato un link e... non so come il mio PC non è più accessibile!".

In occasione della Giornata Internazionale della Password, dunque, prendiamoci un momento per osservare alcuni accorgimenti pratici che ci salveranno dai guai e/o dall'imbarazzo.

Come creare una password sicura

Create una combinazione di caratteri

Se avete usato una combinazione del vostro nome e del vostro animale preferito (MarioDragoneDeFoco), vi do 30 secondi per vergognarvi di voi stessi.
Facezie a parte, preferite una combinazione di caratteri casuali, composta da punteggiatura e/o simboli (. , - _ !), caratteri maiuscoli e minuscoli e numeri.

Evitate le sequenze o schemi ripetuti
Maggiore sarà la casualità dei caratteri della password, più difficile sarà violarla tramite attacchi brute-force (tramite uno strumento che tenta combinazioni statisticamente rilevanti fino a trovare l'apriti sesamo).

Evitate password troppo brevi
Una buona password non deve mai essere inferiore agli 8 caratteri di lunghezza. In ogni caso la maggior parte dei siti e delle app non permette di usare password al di sotto di questa soglia.

Come rendere le password ancora più sicure

Usate password uniche
È semplice, ripetete con me: una password un account, una password un account, una password un account!

Se usate la stessa password su vari servizi, qualora uno solo di questi venisse violato in seguito a un attacco informatico, rischiate di vedervi violare a catena tutti gli altri o quasi.

Cambiate password periodicamente
Se avete troppi account da gestire, potrebbe diventare un vero e proprio lavoro, lo so. Ma, possibilmente, fatelo con i servizi più delicati, come l'home banking e i vostri strumenti di lavoro online (Google Workspace, ad esempio).

Usate l'autenticazione a due fattori come se non ci fosse un domani
Le password da sole possono non essere sufficienti. Per questo motivo, il consiglio è di attivare l'autenticazione a due o più fattori ogni volta che sia possibile.
In sostanza, quando dovrete effettuare l'accesso al vostro account vi verrà chiesta una OTP (one time password) usa e getta che potete scegliere di ricevere via mail, tramite SMS oppure con un'app come Google Authenticator.
Ci sono altri metodi di autenticazione, ad es. tramite dati biometrici (impronta digitale, riconoscimento facciale). Combinando questi fattori, sarete certi di aver ottimizzato la vostra sicurezza.

Come gestire le vostre password senza diventare matti

Ok, gestire decine (se non centinaia) di password diverse e strutturate come un linguaggio alieno è qualcosa che va al di là delle nostre capacità mnemoniche e cognitive, a meno che voi non siate una qualche sorta di mutante o super-umano.

Ma per fortuna, è possibile gestire le password in modo sicuro e affidabile grazie ai password manager. Si tratta di strumenti che consentono di memorizzare le vostre password all'interno di una destinazione sicura, chiamata vault, sbloccabile con una master password (quella sì andrebbe memorizzata, ma vuoi mettere una sola anziché [metti qui un numero a caso]?).

Il vault è protetto tramite crittografia avanzata e solo voi potrete accedervi (e al massimo una o due persone di fiducia che potete nominare come "eredi" o contatti d'emergenza in caso di problemi), anche tramite dati biometrici (ad es. l'impronta digitale dal vostro smartphone): una volta sbloccato, la maggior parte dei password manager vi consente di compilare in automatico i campi di accesso di app e siti web da browser, senza dover ricordare a memoria ogni singolo account.

I prodotti più completi verificano anche la presenza di password compromesse o troppo deboli, o ancora usate su più siti.

Infine, quasi tutti i gestori password includono un generatore casuale che vi toglie anche la fatica di dover pigiare a caso tasti o inventare una sequenza difficile da memorizzare.

Qwertycards

(Image credit: Qwertycards)

Qwertycard - Un'alternativa alle password digitali

Un altro accorgimento che potreste valutare, anche in combinazione con un password manager (magari per la master password) è comprare una Qwertycard.

Si tratta di un prodotto davvero geniale: una scheda fisica delle dimensioni di una carta di credito che potete usare per creare e ricordare tutte le vostre password.

La procedura per creare una password sicura tramite questa tessera è composta da tre semplici step:

Inserite i caratteri presenti all’interno della “barra spaziatrice” che trovate sulla tessera, ad esempio sh(/J3Hq;

Aggiungete ora la vostra parola segreta, ad esempio topogigio;

Infine, inserite il nome del sito a cui vi state registrando cifrato con il codice che trovate sulla tessera, ad esempio techradar diventa &AmW2.7.2 

La password finale dunque risulta essere: sh(/J3Hqtopogigio&AmW2.7.2, decisamente più sicura di “topogigio” ma comunque molto facile da ricordare, infatti vi basterà ricordare la vostra parola segreta e il nome del sito a cui vi siete registrati.

Semplice e geniale!

Le Qwertycard, oltre che in versione Personal, sono disponibili anche in versione Enterprise per venire incontro alle esigenze delle aziende.

Il costo di una singola tessera per uso personale è di €6,99, senza costi di spedizione aggiuntivi. In versione Enterprise, le tessere sono raggruppate in blocchi da 100 e il costo per un singolo blocco è di €99.

Marco Doria
Marco Doria
Senior editor

Senior Editor and Professional Translator. Boardgaming enthusiast, Tech-lover.