È da anni che siamo costretti ad iscriverci a centinaia di siti web, ognuno dei quali richiede un account e una password dedicata. Siamo tutti sommersi di post-it, agende segrete o fogli di Word con la chiave per ogni nostro servizio web.
Se non ne puoi più fai un lungo respiro rilassati: sei nel posto giusto! In questo articolo vedremo infatti come creare password sicure, a prova di hacker. Scopriremo insieme anche come gestire le password al meglio con l’utilizzo di un password manager.
Prima però dobbiamo fare un passo indietro per costruire un quadro teorico completo.
Indice dell'articolo
Identificazione e Autenticazione
L’identità di un utente remoto si verifica normalmente attraverso due step di sicurezza principali: l’identificazione e l’autenticazione.
La prima è la fase in cui l’utente dichiara la propria identità al sistema, mentre la seconda si riferisce alla tecnica con cui tale identità viene verificata. La sicurezza del servizio a cui l’utente accede dipende però dalla tecnica utilizzata per autenticarlo. L’utilizzo di sistemi deboli o non sufficienti a garantire l’identità dell’utente remoto possono esporre il target a numerosi rischi.
Il sistema di autenticazione più diffuso è la password. Quindi la combinazione tra identificativo (comunemente detto user) e password autentica l’utente al sistema.
Questa tecnica, come possiamo immaginare, fornisce una sicurezza molto limitata, perché caratterizzata da diverse problematiche. La password, infatti, può essere trascritta, rubata, smarrita, condivisa o dimenticata e non è perciò adatta nei sistemi in cui si voglia avere la certezza sull’effettiva identità del soggetto che accede.
Per superare queste limitazione e rinforzare i livelli di sicurezza sono nate così le tecniche di autenticazione a più fattori.
Metodi di autenticazione
Per autenticarsi a sistemi digitali (es. computer o bancomat) vengono distinti tre diversi metodi:
- “Una cosa che conosci“, per esempio una password o il PIN.
- “Una cosa che hai“, come un telefono cellulare, una carta di credito o un oggetto fisico come un token.
- “Una cosa che sei“, come il timbro vocale, il riconoscimento facciale, l’impronta digitale, la retina o l’iride, o altre caratteristiche di riconoscimento attraverso caratteristiche uniche del corpo umano (biometria).
Come creare e gestire password
Se come me navighi molto sul web e sfrutti tutte le comodità dei servizi online, probabilmente ti iscriverai a diversi siti, ogni volta registrando nome utente e password di accesso, proprio come dicevamo poco fa.
Con il tempo avrai accumulato una lista crescente di account e servizi, ciascuno con la propria password. Bene: e come gestisci quest’infinita serie di credenziali?
Il problema risiede proprio conservare in un luogo sicuro le password per evitare di perderle e di usare password forti e complesse per evitare che qualche hacker possa scoprirle.
Quali sono le linee guida per scegliere password sicure?
- Utilizza una password complessa contenente numeri, lettere e caratteri speciali;
- Usa almeno 8 caratteri.
- Inserisci caratteri speciali come @ # $% ^ &
- Sfrutta l’alternanza tra maiuscole e minuscole
- Cambia password frequentemente (ogni 6 mesi ad esempio potrebbe essere sufficiente);
- Non usare date di nascita o nomi di parenti (lo so: tutti ne abbiamo almeno una ereditata dal passato. Cambiala al più presto!)
- Non usare la stessa password per tutti gli account (è una tentazione forte, ma sconsigliatissima. Bucata una, bucate tutte!)
- Evitare di usare la funzione “Ricorda password” dei browser (ti rende libero, ma non appena usi un altro dispositivo sei perduto!)
Sai che dal punto di vista di un hacker mediamente esperto è sempre facilissimo scoprire password di accesso che sono composte da parole del vocabolario italiano o di altre lingue?
Qualora decidessi di non sfruttare nessuno dei consigli che ti ho riportato sopra, sappi che potrebbe essere molto semplice per qualche malintenzionato accedere ai tuoi servizi!
Tramite una tecnica base come quella del “bruteForce“, usando programmi particolari, un hacker può provare in pochi minuti tutte le parole del vocabolario per tentare di scoprire la password, senza usare particolari combinazioni.
Ma come facciamo a soddisfare queste caratteristiche e creare password che siano comunque facili da ricordare?
Password facili da ricordare? Niente paura: crea una chiave di criptazione!
La soluzione è quella di creare una chiave di criptazione fai da te, ovvero un metodo, che conosciamo solo noi, per risalire alle password giuste con un rapido e semplice calcolo mentale. Come?
Beh, ci sono diversi modi per adottare un criterio di creazione delle password e, come vediamo in questi esempi semplici e pratici che tutti possono usare, basta un pò di inventiva e fantasia.
- Il primo tra questi consiste senza dubbi nel pensare ad un periodo (più o meno complesso) e utilizzare soltanto le iniziali della frase.
Ad esempio, potrei pensare “con la Mia Famiglia sono sempre al sicuro”, prendere le iniziali di ogni parola e comporre la password che diventa: clMFssas. Impossibile da intuire, ma facile da ricordare se abbiamo la frase in mente, non trovi?
A questo punto potremmo decidere che la password di Facebook sia clMFssas-F, quella del nostro nuovo account Google clMFssas-G e cosi via.
Ti starai domandando: bene, ma che succede se sono registrato a due servizi che cominciano con la stessa lettera? Semplice!
Per esempio, per non usare la stessa password per gli account Amazon e Aruba, possiamo creare la password clMFssas-A1 clMFssas-A2, mettendo i numeri 1 e 2 in base alla seconda lettera della parola, con la m di Amazon che nell’alfabeto precede la r di Aruba.
Questa metodologia p semplice perché non rende necessario neppure trascrivere su un foglio tutte le singole password o la frase chiave, bensì i numeri che corrispondono ai vari account in maniera ordinata. Così li potremmo recuperare in caso di dimenticanze!
- Il secondo metodo consiste nell’utilizzare un libro, anzi più precisamente usare una sola parola casuale di un libro. Scegliamo un libro random dalla nostra libreria (meglio un libro non introvabile, che nel caso potremmo anche riacquistare se perso); apriamo una pagina a casaccio (esempio la 204) e scegliamo la prima parola della riga 5 (magari una parola non troppo breve).
Ora possiamo scegliere come password per il sito della nostra banca la parola scelta più il numero 204. Non ci resterà quindi che creare una tabella con tutte le corrispondenze e proseguire via via di un’unità. Banca=204; Google=205; Aruba=206, ecc…
Per rendere la password un po’ più sicura, possiamo inserire nella prima o ultima lettera della parola una maiuscola.
- Il terzo metodo è quello di togliere le vocali a una frase. Accorpando infatti 3 parole e rimuovendo tutte le vocali, come ad esempio “le carote fanno bene alla vista” otterremo lcfbas. Anche in questo caso potremmo aggiungere la lettera maiuscola del sito a cui si riferisce l’account e un numero, eventualmente segnandoli su un foglio appunti (Google= Glcfbas1; Aruba= Alcfbas2, ecc).
- L’ultimo metodo per creare una chiave di criptazione che vedremo insieme invece consiste nel trascrivere il contrario di una parola.
Invertendo una parola e scrivendola al contrario possiamo usare anche parole di uso comune o nomi di persone, come Famiglia che diventa ailgimaF. Come al solito è importante aggiungere un numero o un simbolo e usare almeno una lettera maiuscola, per complicare un po’ il lavoro di un eventuale hacker.
Testare la sicurezza delle password
Come testare quanto una mia password è sicura? Sul sito Howsecureismypassword, ci viene riferito in quanto tempo la nostra password può essere scoperta da un computer, programmato da un hacker per cercare ogni combinazione possibile.
Il sito considera sicura una password da minimo 8 caratteri, ma preferibilmente da 9 o meglio ancora da 10.
Password Meter, invece, ci può dire se le password che stiamo usando soddisfano tutti i requisiti di sicurezza: contengono maiuscole e minuscole? Hanno almeno x caratteri? Contengono caratteri speciali?
Ma se non volessi creare un mio algoritmo per criptare le mie chiavi di autenticazione, come potre gestire le password magari generate automaticamente o suggerite dai sistemi stessi?
L’unica alternativa valida, a mio avviso, consiste nell’utilizzare un sistema di password manager.
Password Manager: archivi di sommo valore
Un password manager non è altro che un semplice software o database, che contiene in maniera organizzata tutte le nostre credenziali. Generalmente è necessario ricordare una sola passphrase (una password un po’ più lunga del normale) per accedervi.
Possiamo distinguere essenzialmente due tipi di Password Manager:
-
Quelli che funzionano su Cloud e quindi salvano tutti i vostri dati su un web server, con tutti i rischi che ne conseguono;
- Quelli che si installano su un computer locale, senza conservare dati su internet;
Io ho scelto di portare solo due esempio che a mio avviso sono molto validi e che ho scelto di utilizzare sia per Graffette che per i miei account personali. Credo che entrambi abbiano dei limiti, ma anche dei grossi vantaggi, quali la portabilità e l’utilizzo cross-device (ovvero la comodità di accedervi da qualsiasi dispositivo voi stiate usando).
Clipperz
Progetto opensource con server in Islanda completamente criptato e gestito da informatici italiani. È molto basic e prevede un aggiornamento manuale, ma funziona via web, quindi possiamo accedervi da qualsiasi dispositivo con una sola user e passphrase.
Consiglio: fate spesso dei backup quando aggiungete nuove password, così in caso di aggiornamenti al server o down temporanei, potrete avere sul vostro computer una copia di tutta la web app e accedere sempre alle vostre credenziali.
Keepass
KeePass viene eseguito sul proprio pc e non memorizza tutti i dati online su siti e server esterni. È anche possibile utilizzare Keepass in combinazione con un servizio di archiviazione di file online come Dropbox per sincronizzare il file protetto con tutte le password e poterlo usare da più computer insieme.
