Che ci piacciano o meno, le
password per accedere a siti e servizi online sono una costante della nostra vita. E sono anche un elemento importante nel
difendere le nostre informazioni e la nostra privacy. Solo che quando si tratta di sceglierne una, alla fine propendiamo per una password semplice per essere sicuri di ricordarcela. Ma una password semplice è anche una password facilmente individuabile da chi, per interesse o per divertimento, vuole violare i nostri account.
È possibile scegliere password sicure e non correre il rischio di dimenticarle. Basta seguire alcune
buone norme di sicurezza, come quelle che proponiamo qui di seguito.
Usiamo un password manager
Ovviamente è la strada più semplice: se non siamo in grado di creare e ricordare password complesso, usiamo un software che
lo faccia per noi. Una strada semplice però non è banale: bisogna prima scegliere un password manager di buon livello e poi proteggerlo, perché diventa
un potenziale grande punto debole: craccato quello, tutte le nostre password sono violate.
Ci sono diversi password manager, sia gratuiti sia a pagamento. Alcuni operano come applicazioni autonome, quasi tutti hanno
un plugin o una estensione per i principali browser che permette di usarli con facilità. Se usiamo computer con sistemi operativi diversi, badiamo che il nostro password manager li gestisca tutti, comprese - meglio - le piattaforme mobile come iOS e Android.
I password manager devono essere protetti con una password "forte" - ma è l'unica che dovremo ricordare - e possibilmente anche con una
autenticazione a due fattori che ci faccia accedere alle password non solo con una operazione di login ma anche indicando un codice che, di norma, viene inviato via SMS. Non è un sistema comodo, lo sappiamo, ma è più sicuro.
Non usiamo password, ma passphrase
I password manager possono ricordare stringhe di testo complesse come
fbEiB4cWg45&k.jBf, una persona normale no. Cambiamo metodo e passiamo
dalla buona vecchia password "parola" alla password "frase", ossia a una
passphrase. Il senso della passphrase è generare una password alfanumerica a partire da una frase che possiamo ricordare con estrema facilità. Ad esempio, partendo dalla frase
"Abito a Roma, in via Carnevali 35, da quindici anni" possiamo arrivare alla password
AaR,ivC35,d15a usando le iniziali delle parole, i segni di punteggiatura e tutti i numeri possibili.
Le password generate da una frase di senso compiuto
sono di solito abbastanza complesse da essere ragionevolmente sicure (le password assolutamente sicure non esistono, comunque). Non serve inventarsi algoritmi astrusi per passare dalla frase alla password ("la terza lettera di ogni parola alternata a un numero crescente..."), va benissimo un sistema semplice come quello dell'esempio fatto prima perché
la differenza la fa la frase: semplice da ricordare per noi ma impossibile da scoprire per altri.
Un servizio (o un sito), una password
Regola d'oro:
le password non si riutilizzano. Sembra ovvio - e lo è - ma per pigrizia lo fanno in moltissimi. Così quando quel particolare servizio perde un certo numero di password tra cui la nostra, qualcuno la recupererà dal
Dark Web e cercherà di riutilizzarla per altri siti e servizi magari più importanti.
Come possiamo sapere se uno dei nostri account è stato violato? Nei casi più seri
veniamo avvisati direttamente dal fornitore del servizio compromesso, il quale ci comunica che sarebbe molto meglio cambiare la nostra password per evitare rischi. Quelli più prudenti la resettano d'ufficio, così siamo obbligati a cambiarla la prima volta che vogliamo accedere a quel sito o servizio.
Chi ha qualche dubbio sull'affidabilità dei siti che usa può ricorrere a
Have I Been Pwned, un
servizio che raccoglie informazioni sugli
account coinvolti in furti di dati (in gergo data breach) che sono disponibili in qualche modo online. Il fatto che il proprio indirizzo di email sia segnalato da HIBP non vuol dire che tutti i nostri account siano stati compromessi, ma è in ogni caso un segnale di allerta.
Cancelliamoci dai servizi che non usiamo
Non c'è niente di male a testare nuovi servizi online per vedere come sono. Anzi, è anche un fatto positivo. Ma se a un certo punto concludiamo che un certo servizio a cui siamo iscritti non lo usiamo più,
cancelliamoci dal servizio stesso. Anche quando il sito fa in modo di disincentivare l'operazione nascondendola in menu e sottomenu, è una fatica che vale la pena.
Cancellarsi significa infatti che
i nostri dati non saranno presenti inutilmente sui server di qualcuno con cui non vogliamo avere più rapporti. E anche che questo qualcuno non potrà più cederli a terzi in futuro, o nel caso in cui venga acquisito da qualche altro servizio. Per i siti europei la cancellazione dovrebbe essere relativamente semplice, dopo l'
entrata in vigore del GDPR, mentre per i siti americani è tutto molto meno privacy-oriented (anche se il GDPR vale pure per loro).
Attenzione alle domande d'emergenza
Molti servizi e siti online offrono la possibilità di accedere anche quando dimentichiamo la password, purché rispondiamo a una domanda "d'emergenza"
la cui risposta dovrebbe essere segretissima e nota solo a noi. Il problema è che nella grande maggioranza dei casi la risposta è una semplice parola di uso comune, il che fa cadere tutto il castello - davvero di carte, stavolta - della sicurezza.
Molto dipende da
come è strutturata la gestione degli accessi e delle password quando si arriva alla fatidica domanda di sicurezza. Se il sito accetta pochissimi tentativi di risposta (diciamo tre), nel contempo resetta la password principale e comunque blocca l'accesso al terzo tentativo fallito, la situazione non si può considerare sicura ma è almeno tollerabile. Se invece si possono eseguire molti tentativi e
non c'è nessun blocco dell'account, è pensabile che un criminale informatico ben motivato sfrutti questa strada per forzare l'account usando tutti i possibili termini di risposta (ovviamente non a mano, ma via software).
In sintesi, è inutile creare password come
fbEiB4cWg45&k.jBf se poi la risposta alla domanda di sicurezza è "mamma". Se vogliamo usare questa opzione, usiamo il campo della risposta di sicurezza
come se fosse un secondo campo password, impostando come risposta una stringa sicura che non ha nulla a che fare con la domanda.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.