Condividi questa pagina su:

altraSoluzione piace a:

Come creare una password sicura

Stampa

La sicurezza delle password è molto più importante di quanto si possa pensare!

Username + PasswordTemi che qualcuno possa scoprire la tua password e violare i tuoi dati o, peggio, commettere reati a tuo nome? Non esiste un sistema inviolabile ma almeno cerchiamo di creare password sicure per rendere la vita difficile ai malintenzionati!

Se stai leggendo questo articolo, forse ti sarà capitato che dei colleghi abbiano avuto accesso a un tuo account Facebook o alla tua email e, come burla, abbiano inviato messaggi "imbarazzanti" a nome tuo.
Oppure hai avuto problemi più gravi a causa di una password debole e vuoi evitare che si ripetano in futuro.

In ogni caso, è importante capire che con le password non si scherza perché, al di là della burla tra colleghi, un account compromesso può essere fonte di guai molto seri!

Ecco perché ho deciso di scrivere questo articolo, nel tentativo di sensibilizzare i miei lettori sulla sicurezza delle password, un argomento molto spesso sottovalutato, anche dai miei Clienti, ai quali spesso faccio fatica a spiegare perché non possono utilizzare password come mario1967 per proteggere l'account admin del loro Sito Web.

Non mi limiterò a spiegare come creare una password sicura, ma cercherò anche di spiegare perché bisogna creare una password sicura, a costo di appesantire un po' l'articolo, perché penso che sia sempre meglio sapere i motivi per cui si devono fare cose che, a volte, risultano un po' noiose, come creare e soprattutto ricordare una password complessa.

Acquista su Amazon

La prima regola: non comunicare la tua password!

Password segretaLa prima regola che desidero comunicare è che le password personali non si rivelano, a NESSUNO! Neanche al personale IT!
Questo è vero per diversi motivi, tra i quali il fatto che potresti aver utilizzato la stessa password anche per accedere ad altri sistemi (sono sicuro che l'hai fatto almeno una volta in vita tua Smile) e a una persona che venisse a conoscenza di quella password potrebbe venire voglia di tentare di usarla altrove.

Mi rendo conto che, in un ambiente di lavoro, può capitare che un collega, magari durante una nostra assenza e per motivi di lavoro, abbia bisogno legittimo di accedere a delle informazioni o email delle quali, per i più diversi motivi, sono accessibili soltanto tramite il nostro account.

Ma, quando si verifica questa condizione, è probabile che sia a causa di processi aziendali non all'altezza di affrontare situazioni facilmente prevedibili.
In breve:

  • Se un'informazione, anche riservata, può essere utile a un gruppo di collaboratori, ciascuno di loro dev'essere messo in condizione di accedervi in modo del tutto autonomo ancorché, a seconda delle effettive necessità di sicurezza e riservatezza, con accesso in sola lettura e/o registrato, sempre nel rispetto delle vigenti normative sulla privacy.
    Nel caso delle email, se l'azienda non ha previsto un metodo di condivisione, sei tu che devi preoccuparti d'inoltrarle alle persone che potrebbero essere interessate alle informazioni in esse contenute e che non sono in copia nell'originale, PRIMA che si verifichi il problema dovuto alla tua assenza.
  • Se qualcuno deve proprio accedere al tuo account personale, comunque non devi comunicare la password!
    Chiedi all'IT o al responsabile tecnico di resettare la password, con procedura e comunicazione ufficiali, in modo che da quel momento, fino al tuo rientro, tu non sia responsabile delle operazioni effettuate tramite quell'account.
  • Oggi esistono molte soluzioni che fanno fronte a qualsiasi esigenza di gestione e condivisione documentale, di cui molte gratuite. Un'azienda che si rispetti non può ignorare questo problema, soprattutto perché i danni derivanti da un possibile "incidente" (penali dovute a ritardi, documenti persi, ordini non elaborati, ecc...) sono spesso molto più costosi dei sistemi per prevenirli.
  • Infine, se proprio devi comunicare la password a qualcuno, almeno ricordati di cambiarla quando "l'incidente" è concluso.

Le possibili conseguenze di una password debole

Furto identitàPerché è importante creare password sicure?

Mi è capitato spessissimo di veder impostare password come pippo, mario, giuseppina68 e simili, anche come protezione di dati importanti.

Quando chiedevo agli autori di queste enormi falle nella sicurezza se si rendevano conto di cosa stavano rischiando mi rispondevano cose tipo «Ma chi vuoi che cerchi di entrare nella mia email?, oppure «Anche se qualcuno entra, che m'importa? Io non ho segreti!

Poi, magari, le stesse persone si dichiarano contrarie all'utilizzo di sistemi di pagamento come PayPal perché, secondo loro, «Non è sicuro!» (neanche Fort Knox è sicuro, se usi certe password! Smile), ma lasciano spalancata la porta d'accesso al loro conto corrente bancario, intestato a Mario Rossi, nato nel 1964, con una password come mariorossi64! Smile

Ma, senza arrivare a parlare di conti bancari o altre cose palesemente "delicate" e rimanendo nell'ambito della semplice casella email, sono tanti i rischi che si corrono concedendone, volontariamente o involontariamente (impostando password non sicure), l'accesso a estranei.

Ne indico alcuni come esempio:

  • Furto d'identità: tramite email può esserti capitato d'inviare i tuoi dati (nome, cognome, codice fiscale, ecc...), magari anche delle foto e... perché no... addirittura una bella fotocopia di un tuo documento d'identità.
    Tutte queste informazioni sono oro per i farabutti che chiedono prestiti, acquistano auto, moto, barche e fanno tante altre operazioni spacciandosi per ignare persone alle quali hanno rubato l'identità, falsificandone i documenti.
    Purtroppo, le cronache sono piene di casi di questo tipo.
  • Altri reati: hai mai pensato che qualcuno potrebbe commettere dei reati inviando email a tuo nome?
    Inoltre, l'accesso alla tua casella di posta, permetterebbe al malandrino di resettare la password di qualche servizio importante (banca, PayPal, ecc...), che in genere inviano il link per la procedura di reset all'indirizzo email del titolare (il tuo).
    Ovviamente, se sei fortunato e riesci a leggere l'email di reset prima che il malandrino la cancelli, te ne accorgi anche tu che è successo qualcosa.
    Ma, nel frattempo, la password sarà stata cambiata e i tuoi soldi spesi!
  • Dati sensibili: hai una malattia della quale (giustamente) non vuoi parlare al tuo datore di lavoro o ad altri? Un accesso non autorizzato alla tua casella email potrebbe svelare segreti importanti sulla tua persona.
    Analisi cliniche, appuntamenti con medici, prescrizioni sono tutte informazioni che investono la tua sfera privata, nei suoi aspetti più intimi.
    E le informazioni sensibili non si limitano a quelle riguardanti la salute, includono anche idee politiche, religiose, orientamento sessuale, ecc...
    Sei sicuro di non avere problemi nel rivelare a estranei tutte queste informazioni?

La password perfetta

Ovviamente, la password perfetta non esiste. Ma ne esistono tantissime assolutamente imperfette, disastrose, pressoché inutili e che, incredibile ma vero, sono le più utilizzate.

Per capire bene questo argomento bisogna sapere quali sono i metodi più utilizzati per scoprire le password:

  • Dati personali: le persone che ti conoscono o che hanno informazioni su di te, possono facilmente indovinare password che includono date di nascita, date di matrimonio, nomi di mogli, mariti, figli, cani, gatti, film, canzoni, ecc...
  • Brute force (forza bruta): un programma scritto appositamente per questo scopo cerca di trovare la tua password facendo in poco tempo milioni di tentativi basati sulle parole contenute nei dizionari, date, nomi, caratteri sostitutivi diffusi (es. 0 al posto della o, 1 al posto della i, 3 al posto della E e così via...), sequenze "geometriche" di tastiera banali e molto utilizzate (es. qwertyuiop, asdfghjkl, zxcvbnm, 1234567890, 1qaz, ecc...) e, più in generale, sui comportamenti ricorrenti degli utenti.
  • Dati in chiaro: alcune persone (e anche alcuni software, purtroppo) memorizzano le password in chiaro (o criptate debolmente) in un file o in un database. Se un hacker riesce a entrare in possesso di questi dati ha vinto alla lotteria... e tu hai perso.
  • Man in the middle (uomo nel mezzo): sebbene questa (pessima) pratica stia pian piano scomparendo, alcuni Siti Web trasmettono ancora le password in chiaro, tramite parametri nell'URL (es.: http://www.sitoweb.com?login=mariorossi&password=mario2018), o tramite metodo POST nei form.
    Un malintenzionato che si pone tra il tuo computer e il server (appunto, "man in the middle") potrebbe "sniffare", cioè monitorare la rete per catturare questi dati.
  • Utilizzo abituale: molte persone utilizzano sempre la stessa password su tutti i sistemi. Questo vuol dire che se un hacker scopre la tua password di Facebook, riuscirà a entrare anche nella tua casella di posta, sul tuo account Twitter... e magari anche vedere il tuo conto in banca!

Da questi pochi esempi possiamo già cominciare a dedurre le regole principali per la creazione di password sicure e i comportamenti per migliorare la sicurezza dei tuoi account in generale:

  • Crea password lunghe: più caratteri ci saranno nella tua password e più difficile sarà indovinarla. Direi che il minimo è di 8 caratteri, ma 12 o più sono auspicabili.
  • Utilizza caratteri speciali e numeri: ! $ ? # = @ * + - . , ; : 0 1 2... 9 sono tutti caratteri che puoi utilizzare per rendere la tua password un po' più sicura.
  • Utilizza caratteri minuscoli e maiuscoli: se in un momento di follia avrai utilizzato come password la parola password (è solo un esempio, che non ti venga in mente di utilizzarla! Smile), facilissima da indovinare, sostituendola con pAsSWoRD, pur rimanendo una schifezza di password Smile, complicherà un po' la vita al malintenzionato.
  • Non utilizzare parole di senso compiuto, esistenti nel dizionario (in qualsiasi lingua): r0sSeTT0 sarà molto più facile da indovinare rispetto a tRx!GSq_27.
  • Utilizza password diverse per diversi accessi: non utilizzare sempre la stessa password e, se proprio vuoi farlo, almeno abbi l'accortezza di aggiungere un prefisso o un suffisso legati al servizio, facili da ricordare. Per esempio tRx!GSq_27-f@c3b00k, tRx!GSq_27-Tw1tt3r, tRx!GSq_27-gMa1l.
  • Cambia le password frequentemente: ti garantirà che eventuali malandrini non possano far danni a lungo.
  • Non inviare mai le password via email o tramite altri mezzi "elettronici" (SMS, WhatsApp, Facebook, ecc...): non si sa mai chi può leggerli!
  • Non scrivere le password su fogli di carta, file nel computer o nello Smartphone, tantomeno in chiaro: i fogli di carta possono essere letti da altri mentre computer e cellulari (o anche soltanto i file) potrebbero essere "rubati" o subire intrusioni informatiche.
  • Quando è possibile, usa la doppia autenticazione: sono sempre di più i sistemi che offrono la doppia autenticazione, tramite login e password tradizionali più l'utilizzo di un codice a tempo, di solito inviato via SMS o creato tramite apposite applicazioni o dispositivi.
  • Controlla la "forza" della tua password: esistono alcuni strumenti che verificano la forza, la robustezza della password.
    Uno di questi è messo a disposizione da Kaspersky (ma, se cerchi su Google, ce ne sono anche altri) sulla pagina SECURE PASSWORD CHECK.
  • Evita i siti che non utilizzano l'HTTPS (o, peggio, che inviano le credenziali nell'URL): finché si tratta di leggere delle informazioni da un sito è poco importante se viene utilizzata la connessione sicura HTTPS o quella "normale" HTTP, ma quando si tratta di trasmettere dati personali o password allora una connessione HTTPS sicura è fondamentale.
    Per fortuna ormai quasi tutti i browser segnalano i siti non sicuri. Regolati di conseguenza!

Se vuoi, puoi affidarti a uno dei tanti generatori di password disponibili in rete, come quello messo a disposizione da Norton.

Come ricordare le password?

Post-itA questo punto, se non sei andato a pubblicare gli annunci per vendere il tuo computer perché vuoi disfarti della tecnologia Smile, ti starai chiedendo: come memorizzare password così complicate?

È una domanda lecita, per la quale, per fortuna, esistono molte risposte.

Tralasciando volutamente la possibilità di leggerle sul post-it che sicuramente NON hai attaccato al monitor del computer Smile, ecco alcuni possibili metodi:

  • Scegli un metodo e utilizzalo sempre: per esempio, puoi importi lo standard di scrivere in maiuscolo la seconda, la quarta, la quinta e l'ultima lettera della password. Oppure puoi inserire dei numeri in una sequenza (no, 1234 non va bene! Smile) e in posizioni che puoi ricordare facilmente.
  • Utilizza il metodo "geometrico": cioè, memorizza dei movimenti sulla tastiera, che per te hanno un valore mnemonico e che producono sequenze di caratteri apparentemente casuali, da unire in una password complessa.
    Per esempio, "disegnando" una X sul pad numerico della tastiera, escono fuori i numeri 753159 oppure, facendo la stessa cosa sulla tastiera alfanumerica a cavallo della H, produrremo la sequenza THNUHB o, a cavallo della S avremo ESZQSX.
    Ma risultati simili si possono ottenere con altre figure geometriche come quadrati, triangoli, ecc...
    Attenzione però, perché non tutte le tastiere sono uguali e potresti aver bisogno d'inserire la password da una tastiera diversa, per esempio quella dello Smartphone.
  • Utilizza software appositi: i cosiddetti "Password Bank" (da non confondere con i "Password Manager", molto meno sicuri), che memorizzano le password criptate, sono disponibili per tutti i sistemi operativi e per tutti i prezzi, anche gratuitamente.
    È chiaro che ci si deve fidare del produttore del software... ma di qualcuno dovremo pur fidarci in questo mondo! Smile

Se vuoi chiedere ulteriori spiegazioni, non esitare a farlo lasciando un commento Facebook, oppure contattandomi in privato!

Grazie per avermi letto fin qui! Smile

E non dimenticare di mettere il tuo "Mi piace" qui sotto! Smile

Fabio Donna

Commenti Facebook

N.B.: i commenti devono essere approvati prima della pubblicazione, quindi potrebbero non apparire subito.