La sicurezza delle password dovrebbe essere una vera e propria priorità per chiunque utilizzi un computer, un tablet o uno smartphone. Ci viene spesso ricordato come sia importante usare password d'accesso sempre diverse e particolarmente complesse ma, così facendo, è praticamente impossibile ricordare le stesse.
Questa difficile situazione ci porta a commettere spesso gravi errori di sicurezza delle password. In questo articolo affronteremo il problema, cercando di trovare soluzioni adatte ad ogni tipo di utente.
La sicurezza delle password: perché è bene non riutilizzarle per servizi diversi?
Un po' per pigrizia, un po' perché effettivamente è pressoché impossibile ricordare decine se non centinaia di password, ci cadiamo un po' tutti. In tal senso, molte persone usano una parola d'accesso particolarmente lunga (giusto per andare incontro alle esigenze di ogni sito) e poi usa quella su un numero non precisato di servizi. Il principale problema è che non tutte le piattaforme sono particolarmente sicura e, se usiamo una sola password per tutti i siti con cui abbiamo a che fare, basta una sola violazione per spalancare le porte di un intero mondo agli hacker.
Prendiamo per esempio LinkedIn, il noto social network che è stato massicciamente hackerato nel 2016 (si parla di circa 164 milioni di utenti con il profilo violato). Non solo gli hacker hanno recuperato molte informazioni sugli utenti, ma sono anche riusciti a recuperare le password (valide anche per altri social e piattaforme). Le violazioni dei dati si verificano ovunque ogni giorno, in pressoché qualunque tipo di contesto. E quando si parla di violazioni di un sito o di una piattaforma, le password sono le prime informazioni ad essere raggiunge dagli hacker. Se hanno scoperto la tua password su LinkedIn, è facile che tramite essa possano accedere anche a Facebook o Instagram (per esempio) senza neanche dover fare poi tanta fatica.
Cerca di adottare una sorta di algoritmo per le tue password
Invece di riutilizzare le password, potresti provare a inventare qualche metodo o "algoritmo" per generare una password per ogni singolo sito che utilizzi. Ma usare un metodo per generare una password significa semplicemente che quando una delle tue password è compromessa, utilizzi comunque dei piccoli cambiamenti nell'uso delle altre per renderle leggermente meno individuabili.
In tal senso c'è chi sostituisce una "o" con uno "0" o altre soluzioni simili. Va però detto che è un metodo piuttosto limitato ed esistono sicuramente metodi molto più efficaci per incrementare la sicurezza delle password.
Utilizzare un gestore di password
Cosa fare, quindi, se vuoi rendere sicuro tutte tue password? Dovresti usare un gestore di password. In pratica è come ottenere una piccola agenda con tutte le tue password (dunque diverse), ma crittografato. Ciò significa che anche se qualcuno accede alla tua agenda, non sarebbe comunque in grado di leggerlo senza la password principale.
Di base, tutti i password manager funzionano più o meno allo stesso modo:
- creano un file crittografato in cui tutte le tue password vengono archiviate
- permettono di copiare la password per un determinato account in modo che tu possa incollarla nella casella della password quando accedi a qualche sito/servizio (non è mai necessario dunque conoscere o digitare la password).
Due tipi di gestori di password
Va detto che però esistono due distinti tipi gestori di password. Alcuni sono con archiviazione cloud mentre altri lavorano esclusivamente in locale.
Un gestore di password che sfrutta la tecnologia cloud, memorizza il file crittografato in uno spazio sicuro online. Sembra spaventoso, ma finché il tuo vault è correttamente crittografato non è un problema, anche se non ne sei in possesso fisicamente sul tuo computer. Questo ha anche il grande vantaggio di permetterti di avere l'applicazione di gestione password su tutti i tuoi dispositivi, tutti utilizzando lo stesso cloud. Quando aggiungi o modifichi una password su un dispositivo, qualunque tipo di cambiamento viene riflesso su tutti i tuoi dispositivi.
Un gestore di password con un file locale significa che il vault è totalmente sotto il tuo controllo e spetta a te salvarlo da qualche parte. Ciò significa che se vuoi condividere il vault tra tutti i tuoi dispositivi, devi comunque metterlo in una posizione accessibile come Dropbox, OneDrive o qualsiasi altra cosa tu scelga. Ovviamente, è comunque su un servizio cloud, ma ciò significa che un hacker avrebbe bisogno di un ulteriore passaggio per ottenere le tue password. In tal senso infatti, prima dovrebbero entrare nel servizio cloud e poi "scassinare" la tua agenda personale, dotata di crittografia.
Un esempio di un gestore di password con memoria locale è KeePass. Due dei più popolari gestori di password basati su cloud sono invece LastPass e 1Password.
I vantaggi dei gestori di password
Il più grande vantaggio nell'utilizzare un gestore di password è che ora puoi generare password complesse come vuoi, senza doverle per forza ricordare. Datti dunque alla fantasia! Crea password assurde, con più caratteri possibili. Utilizza numeri, simboli strani, maiuscole e minuscole, creando miscugli senza senso e incomprensibili.
A questo punto, a parte l'eventuale password o pin per accedere al tuo dispositivo, avrai necessità solamente di ricordare quella per il tuo gestore. Le altre saranno tutte memorizzate automaticamente.
Cosa fare sulle domande sulla sicurezza dell'account
Un'ultima cosa di cui parlare sono le domande di sicurezza. Si tratta di servizi ti chiedono più domande a cui rispondere in caso di perdita di password, o anche solo per accedere quando cambi dispositivo o IP. Si tratta di un metodo noioso e poco efficiente utilizzato da alcuni servizi.
Sono così semplici che chiunque può digitare fare una rapida ricerca online può comprenderli a meno che non si usino risposte particolarmente complesse... Se per esempio ti viene chiesto "Quale scuola hai frequentato da ragazzo" la risposta è facilmente intuibile se un malintenzionato visita il tuo profilo Facebook o LinkedIn. Come fare dunque per rendere tutto molto più difficile?
Dovresti assolutamente inventare risposte fittizie o prive di senso. Non dare a nessuno la possibilità di ricercare o indovinare, neanche la minima chance. Utilizza questa funzione con una password di riserva. Dovrai sicuramente registrare quelle risposte da qualche parte.
La cosa migliore è tenerli in un documento di testo o in un foglio di lavoro che non è connesso online da nessuna parte, un'agenda cartacea è ancora meglio. Teoricamente è possibile anche tenerli nel gestore di password ma, per evitare qualunque tipo di problema, è bene tenerle quanto più possibile tenere password e risposte di sicurezza separate.
