Il dibattito sull’uso delle password è sempre attuale e sempre di moda; nel nostro caso l’uso di una password non sicura può portare a un sacco di problemi molto grossi che vanno dall’uso della casella email per fare SPAM, fino al furto di dati sensibili.
Pensa solo che uno che conosce la tua password si può semplicemente mettere in modalità di ascolto e attendere che gli passi per le mani qualche informazione succulenta per fare danni molto pesanti. Oppure può usare la stessa password per usare tutti gli altri servizi collegati al tuo account, vedi Microsoft o Gmail.
Password inaffidabili e poco sicure
Ancora oggi ci sono milioni di persone che usando password assolutamente inaffidabili come il proprio nome, parte dell’indirizzo email, 123456 o cose assurde del genere e per gli hacker è semplicissimo trovarle e agire di conseguenza. Ma al di là della pigrizia delle persone è pur vero che oggi ricordarsi una password è sempre più complesso perché ormai, in un mondo tutto digitale, una password è richiesta per ogni servizio che utilizzi, quindi sono decine le password che devi ricordarti e, a meno che tu non usi un software che gestisca tutte le password per conto tuo, diventa molto complesso ricordarsele tutte e la gente tende a usare cose che si ricorda, che sono semplicissime da scovare.
Oggi tutti i servizi a cui ti iscrivi ti chiedono di immettere una password robusta, di inserire maiuscole e minuscole, numeri, caratteri speciali e via di seguito ma questo porta a un’effetto indesiderato, e cioè che le password tendono ad assomigliarsi tutte ed è sempre più facile per i delinquenti trovarle e usarle. Guarda questa vignetta emblematica che rende benissimo l’idea
Praticamente ti dice che di solito si pensa che la password più sicura sia la prima Tr0ub4dor&3 ma in realtà non è così perché i meccanismi che si usano per creare password sicure sono sempre quelli, e gli hacker li conoscono bene; ad esempio invece che scrivere Password scrivo P4ssw0rd mettendo un 4 e uno 0 al posto della a e della o, ma sono ormai sistemi assolutamente insicuri, oppure aggiungo il classico ! (punto esclamativo) alla fine o all’inizio e penso di essere a posto.
Facendo due conti, l’autore della vignetta Randall Munroe, ti dice che la prima password può essere trovata in circa 3 giorni di tentativi al 1000 tentativi al secondo – usando ovviamente un software di attacco automatico – mentre la seconda che apparentemente risulta più semplice, richiede 550 anni sempre a 1000 tentativi al secondo.
L’effetto collaterale è inoltre che la prima è praticamente impossibile da ricordare, o comunque molto difficile, mentre la seconda è molto facile da ricordare.
Le regole per le password
Le regole che usiamo oggi per la sicurezza delle password sono state stilate nel 2003 da Bill Burr in questo documento del National Institute for Standards and Technology. Ormai oggi però sono diventate obsolete o meglio, hanno creato un sistema mentale di generazione delle password che fa in modo che le password stesse siano difficili da ricordare per gli umani e facilissime da trovare per le macchine.
Anche il fatto di costringere a cambiare spesso la password è assolutamente deleterio, soprattutto impedendo, come fanno molti, di usare password già precedentemente usate. In pratica la gente, a furia di essere costretta al cambio, inserisce password stupide – e io spesso sono tra quelli, perché non sa più cosa inventarsi e comunque deve essere una password che si è in grado di ricordarsi.
Qual’è la password più sicura e che è possibile ricordare?
Come la vignetta sopra dice, pare che quella più sicura sia una frase di 4 o più parole, assolutamente slegate tra di loro e prive di significato compiuto come frase. Il fatto di poterla ricordare è importante, a meno che non usi un gestore di password come detto prima, perché di sicuro non vorrai andare in giro con un post-it con scritta la tua password.
Ti insegno un piccolo trucchetto che può risultare molto comodo. Se vai su questo sito
puoi inserire una password master, una complessa ma che ti ricordi, e, cliccando Generate, lui ti proporrà automaticamente delle password da usare per i principali servizi online, oppure potrai inserire tu il nome di altri servizi che usi, e lui ti proporrà le password da utilizzare. Nel nostro caso puoi inserire il nome di diverse caselle di posta elettronica che possiedi, e fare generare al sito le relative password.
Puoi anche salvare la pagina internet in locale e usarla in locale, perché tanto la generazione delle password non viene fatta da un server ma da un codice contenuto nella pagina stessa. La cosa interessante è che se ti sei dimenticato una password, inserendo la password master potrai ottenerla in tempo zero.
Esiste anche una versione del generatore che crea password di 20 caratteri invece dei 10 standard.
Un’altra possibilità è costruirsi una tabellina del genere
Supponiamo di volere creare una password per creare un account Gmail. Il trucco è di prendere le prime 5 lettere del servizio, in questo caso gmail, e fare una semplice translitterazione usando la tabella e facendo corrispondere alla prima lettera la prima riga, alla seconda lettera la seconda riga e così via. Come potete facilmente verificare nel caso del sito apple la password sarà
g = 3
m = e1
a = i88
i = U7
l = 8Hj
per cui alla fine la password del sito sarà 3e1i88U78Hj e la cosa interessante è che la potrai ricostruire facilmente quando ne avrai bisogno.
Va da sé che la tabellina la dovrai conservare in qualche posto – anzi in più di un posto – dove sia impossibile perderla o perderne l’accesso perché senza questa sarà ben difficile che tu possa recuperare la tua password.
Ovviamente potrai crearti una tabella con più di 5 righe, usare più caratteri in ogni cella e aggiungere anche dei caratteri speciali, ma la cosa interessante di questo sistema è proprio la possibilità di conoscere la password al volo senza impazzire.
Ritengo comunque che la cosa migliore sia quella di usare un password manager che ti semplifica la vita moltissimo.
