Password e sicurezza dei tuoi account
Password e sicurezza dei tuoi account – articolo di Francesco Politi
Se si provasse a fare un rapido calcolo, si potrebbe verosimilmente scoprire di avere decine di account su vari siti: Amazon, Paypal, Google, Facebook, home banking, la propria casella di posta elettronica, e così via. Ogni account richiede la generazione di un nome utente e di una password: è quindi frequente trovarsi nella condizione di dover gestire più credenziali di quelle che si riescano a ricordare!
Tecnologia OAuth
In parte, questo sforzo mnemonico è mitigato dalla tecnologia OAuth, che consente di integrare la fase di autenticazione con un servizio esterno. Ad esempio, è possibile registrarsi su un sito semplicemente accedendo con il proprio account di un social network.
In questo modo, la nostra identità sul social network sarà considerata già valida come iscrizione.
Ma non sempre c’è questa possibilità. Spesso l’utente è costretto a creare un nuovo account per accedere ad un determinato servizio.
Si torna dunque al problema iniziale: come gestire in maniera efficace un gran numero di account?
Password reuse
La maggior parte delle persone adotta una soluzione tanto semplice quanto pratica: usare la stessa password ovunque. Questa pratica comporta tuttavia dei rischi.
Bisogna ragionare come farebbe un attaccante: se so che la password della casella di posta di un utente è “pippo”, proverò ad utilizzare quella stessa credenziale per accedere su altri servizi (Paypal, Netflix, etc…). Sorprendentemente, questa strategia avrà spesso successo!
In altri casi, è possibile che uno dei siti su cui siamo iscritti venga colpito da un cosiddetto data breach: ciò significa che malintenzionati sono stati in grado di trafugare l’archivio delle credenziali di quel sito, e di renderlo disponibile online (su “canali” decisamente alla portata di un utente mediamente esperto).
A quel punto, bisogna purtroppo assumere che la nostra credenziale sia stata ormai compromessa, ed è necessario cambiarla al più presto sia sul sito colpito dal data breach, sia su altri siti dove, sfortunatamente, abbiamo usato quella stessa password.
E’ quindi evidente che questa pratica, definita in gergo password reuse (riutilizzo della password) non sia accettabile.
Password Manager
Una soluzione di gran lunga migliore prevede l’utilizzo di un password manager.
Si tratta di software che consentono di memorizzare tutte le nostre credenziali in un unico archivio, protetto a sua volta con un’unica password.
In sostanza, l’utente deve unicamente ricordare una password per tutti gli account, e una volta inserita quella, potrà accedere al proprio scrigno con tutte le altre credenziali.
Tra i software più diffusi, citiamo Keepass, LastPass, Bitwarden.
Rimane un unico dubbio: come scegliere una buona password? Quali criteri vanno presi in esame per valutare l’efficacia della stessa?
Questa simpatica vignetta descrive uno degli errori più comuni:
Nella prima vignetta in alto a sinistra, un ipotetico utente sta applicando classici stratagemmi per rendere più complessa una password basata su una parola di senso compiuto:
- iniziale in maiuscolo
- sostituzione di cifre al posto di determinate vocali
- inserimento di caratteri speciali
Nel riquadro in alto al centro, viene calcolata la complessità della password così generata. Nel riguardo in alto a destra, emerge il limite di questa tattica: la password è difficile da ricordare a memoria.
Nelle vignette in basso, invece, un altro ipotetico utente decide di utilizzare come password 4 parole di senso compiuto, ma non che non hanno senso logico tra loro.
Il risultato è che la password risulta più difficile da decifrare (vignetta in basso al centro) ma più semplice da ricordare, affidandosi ad un’immagine “mentale” che viene creata sulla base delle 4 parole scelte.
Per concludere, riassumiamo i consigli chiave:
- non usare mai la stessa password per servizi differenti
- esistono software che consentono di gestire il nostro archivio di password, svincolandoci dalla necessità di ricordarle singolarmente a memoria: usiamoli!
- non affidarsi a tecniche che solo apparentemente hanno lo scopo di aumentare la complessità della nostra password: queste stesse tecniche sono ormai già “contemplate” dai malintenzionati che mirano a scoprire la nostra password
