Come scegliere una buona password – Guida pratica ad un account online sicuro Guida valida per qualsiasi account: email, Facebook, Twitter, ecc.

<span class="entry-title-primary">Come scegliere una buona password – Guida pratica ad un account online sicuro</span> <span class="entry-subtitle">Guida valida per qualsiasi account: email, Facebook, Twitter, ecc.</span>

Vi siete mai chiesti se non sia il caso di cambiare password alla vostra email, sull’account Facebook o Twitter, o magari per accedere alla vostra banca online?

Le password in effetti sono una componente irrinunciabile di qualsiasi servizio online, e questo ormai dovremmo saperlo bene: bisogna pero’ farne un uso, se possibile, saggio, ed una delle prime regole da seguire riguarda il fatto di evitare di riutilizzarle in più sedi: è molto meglio che una password sia unica per ogni servizio. In secondo luogo, poi, bisogna evitare di fare uso di password banali, troppo semplici e di utilizzare, se possibile, parole inventate evitando termini molto comuni e semplici numeri.

Cos’è una password?

Una password è una sequenza di caratteri digitabile mediante tastiera, a conoscenza solo delle persone autorizzate ad un account o ad un servizio, che permette di visionare ed utilizzare dati riservati, normalmente non visibili dall’esterno. La password serve a permettere l’autenticazione, ad esempio su un sito web o su un’app del telefono, in modo tale che la stessa rimanga a disposizione solo di chi sia autorizzato o abbia le corrette credenziali. Ovviamente le password proteggono l’accesso non sono dalla lettura, ma anche dalla scrittura e dall’utilizzo di servizi specifici di natura confidenziale (ad esempio app per inviare denaro o documenti anagrafici).

Esempi di base di password includono, ad esempio, le credenziali di accesso ad un sito (email o username + password), l’accesso al proprio account di home banking, accesso a servizi finanziari, amministrativi o gestionali di vario genere, password per accedere al proprio smartphone, password per inviare e leggere email e così via.

Le password in generale:

  • possono contenere sia lettere maiuscole che minuscole;
  • possono contenere numeri;
  • possono contenere caratteri speciali e punteggiatura, come ; o ^
  • dovrebbero sempre avere una lunghezza minima (ad esempio 7 caratteri), al di sotto della quale non bisogna mai scendere

Ci sono esempi più complessi di uso delle password come i PIN (che sono chiavi di accesso solo numeriche, tipicamente in sola scrittura e che non è possibile cambiare) e l’autenticazione a 2 fattori: in questi casi, infatti, la sola password si rivela insufficente per la sicurezza, ad esempio poichè è coinvolto un pagamento o una transazione monetaria. Al fine di inserire un secondo “blocco” di protezione alla password, che potrebbe comunque essere scoperta per tentativi o trafugata, quello che si cerca di fare è di affiancare alla password una sorta di “impronta digitale”, legata al nostro numero di telefono via una OTP (una One-Time Password), la quale permetta all’utente di accedere in modo ancora più sicura.

In genere, comunque, la maggioranza dei servizi online fa affidamento su una semplice password, per cui è importante che la stessa sia scelta con cura: i servizi più avanzati come Ebay, ad esempio, non solo impediscono all’utente di impostare password troppo semplici, ma quando le cambiate vietano anche di riutilizzarle in seguito, ammesso che ne abbiate fatto uso di recente.

Requisiti per una password forte

Scegliere la propria password è un compito da non sottovalutare, e deve essere fatto con grande attenzione: se usiamo password facili da indovinare, chiunque in teoria potrebbe accedere ai servizi al posto nostro (quindi inviando email al posto nostro, prelevando denaro, e così via). Quando si parla di scelta della password, o di password sicure, si tende a fare riferimento a password che rispettino determinati requisiti.

In genere, infatti una password forte (forte nel senso che è difficile da indovinare) possiede le seguenti caratteristiche:

  1. è lunga almeno 15 caratteri
  2. possiede lettere maiuscole
  3. possiede lettere minuscole
  4. possiede numeri
  5. contiene simboli non alfabetici come ad esempio: ` ! " ? $ ? % ^ & * ( ) _ - + = { [ } ] : ; @ ' ~ # | \ < , > . ? /

In linea di massima, quindi, già questo può bastare come criterio di massima per la scelta di una password. C’è comunque un problema di fondo in questo genere di approccio: che funziona piuttosto bene tecnicamente ed è efficace, ma spesso provoca problemi agli utenti a livello di uso pratico delle applicazioni e dei siti web. Se ad esempio, infatti, avessimo impostato una password con dei caratteri non alfabetici, trovarci di fronte alla tastiera di un telefono o una di un PC o Mac diverso dal solito potrebbe provocarci problemi nel digitarla (i caratteri non alfabetici sono spesso frutto di combinazioni di tasti non sempre facili da ricordare).

La soluzione quindi  è una via di mezzo: utilizzate sempre password che siano difficili da indovinare dall’esterno, ma che siano anche facili e relativamente comode da digitare per voi. Un modo per farlo è quello di inventarsi le password usando un po’ di fantasia, ad esempio le iniziali di una frase che ricordiamo facilmente seguite da almeno un numero ed un carattere non alfabetico.Ad esempio se pensiamo a :Come mestiere faccio l’ingegnere informatico e lavoro col web

la password potrebbero essere tutte le iniziali della frase:

CmfliieLCW754!!

attenzione sempre all’alternanza corretta tra maiuscole e minuscole.

Altre possibilità sono le password molto lunghe fatte da frasi di vario genere, per quanto alcuni sistemi manifestino ancora oggi un limite massimo nella lunghezza delle password gestibili.

Password sconsigliate – Da NON usare

Cosa invece è in grado di rendere una password debole, e che sono quindi scelte da evitare tassativamente,  è quanto segue:

  • usare la parola password, o sue varianti (password123, ad esempio)
  • usare la propria username come password;
  • usare il proprio nome, cognome, data di nascita come password (sono dati facili da indovinare o reperire pubblicamente);
  • usare una parola presa da un vocabolario in qualsiasi lingua (i dizionari sono online in varie lingue, ed uno potrebbe indovinare la password a tentativi)
  • usare il nome di un amico, parente, familiare o nome comune di persona
  • usare una password usata in passato anche su siti o servizi diversi (le migliori password sono usa e getta: una volta cambiate, non andrebbero più riusate)
  • usare la tua data di nascita
  • usare una combinazione di tasti già presente sulla tastiera come ad esempio qwerty, qwertyuiop, asdfghjkl,zxcvbnm…
  • password sconsigliate o da non usare sono, in genere, quelle riportate nella lista delle peggiori password.

In genere ricordatevi che non è consigliabile stampare le proprie password su carta, specialmente se sono associate alla username; è molto meglio appuntarle in un’agenda apposita da tenere sempre a casa senza portarla in giro, e senza indicazioni su quale password precisamente sia.

Come scegliere una buona password

Le regole basilari per la scelta di una buona password sono le seguenti:

  • usare password non banali o corrispondenti, per dire, a date di nascita, numeri o semplici parole come “ciao”, “password” e così via;
  • utilizzare ogni singola password una ed una sola volta per ogni sito, servizio o email;
  • assicurarsi che nella password ci siano lettere e numeri e, se possibile (e se ammesso dal sito o dall’app o dal servizio in fase di registrazione) almeno un simbolo non alfabetico;
  • sfruttare, secondo un vostro criterio facile da ricordare varianti non scontate di una password base che ricordiamo bene, ad esempio, ed introdurre delle complessità al suo interno (come caratteri non alfabetici, numeri e via dicendo);
  • se ci stiamo registrando a servizi di natura dubbia, per semplice curiosità o a livello di test, è opportuno registrarsi con email non ufficiali (registratene una per l’occorrenza, magari) ed usare generatori di password casuali tipo questo. Nel caso in cui questi servizi fossero violati, non avremo esposto nostre informazioni in pubblico al momento della pubblicazione del dump, cioè della lista di username e password in chiaro.

Chiarito questo, passiamo al punto successivo.

Perchè la password deve essere complicata?

È una seccatura, anzi è quasi impensabile per molti utenti pensare a password complesse, eppure è l’unico modo per stare veramente al sicuro: se inseriamo un codice di accesso come “ciao”, come il nostro nome o come password o 12345, chiunque dovesse provare ad accedere per tentativi avrebbe discrete possibilità di entrare nell’account a nostra insaputa.

Molto meglio, quindi, come regole generali:

  • usare password mai banali o corrispondenti, per dire, a numeri o date di nascita;
  • utilizzare ogni singola password una ed una sola volta per ogni sito, servizio o email;
  • fare uso di varianti non scontate di una password base che ricordiamo bene, ad esempio, ed introdurre delle complessità al suo interno (come caratteri non alfabetici, numeri e via dicendo).

Può sembrare una complicazione inutile, a pensarci all’inizio, ma non è affatto così: scegliere una buona password è importante, specialmente se si tratta di servizi che includono l’accesso a servizi di pagamento (Ebay, Amazon) o e-commerce devono rimanere una vostra esclusiva. Non esistono termini consigliati da usare all’interno delle proprie password: anzi, è opportuno usare termini originali o fantasiosi (parole inventate, combinazioni originali di maiuscole, minuscole, numeri e simboli, ecc.) che spesso sono anche più facili da ricordare (per noi).

Il giusto compromesso, in effetti, sta nel trovare una password che sia difficile da indovinare per gli estranei e relativamente facile da ricordare per noi.

Custodire la password

Gestori di password. In genere le password possono essere salvate e gestite mediante appositi gestori di password; in alcuni browser come Firefox, ad esempio, compresa l’ultima versione Quantum, è presente un gestore delle password integrato. Esso possiede un grosso vantaggio lato sicurezza: permette infatti di gestire e proteggere le nostre password mediante una super password globale. Questo significa che accedendo con il nostro browser sarà possibile vederle salvate solo digitandola correttamente, impedendo così ad estranei o a malware che accedano al nostro PC di visualizzarle.

Fino a qualche tempo fa si utilizzava anche un Password Exporter cioè un modulo per esportare le password su file e importarle su un altro browser a scelta, previo inserimento di una password: questo significa che erano salvate in forma criptata, quindi sicura per import/export. Tuttavia questo modulo non è ancora stato aggiornato per Quantum, e la speranza resta che tale porting sia fatto a breve. Ci sono anche gestori di password che lavorano e memorizzano sul cloud ma, in questo caso, bisogna fare attenzione alla scelta che si fa: i migliori sono quelli che supportano una crittografia end-to-end, se questa cosa è riportata esplicitamente tra le sue caratteristiche.

Un altro modo più semplice per custodire le proprie password è quello di scriverle in un posto sicuro, ma in questo caso ovviamente non è il caso di portarsi in giro l’appunto ed è opportuno tenere in un cassetto accessibile solo a noi il tutto. Preferibilmente segnatevi solo le password e non le username affiancate, perchè così vi servirà giusto come appunto e non darete preziose informazioni ad eventuali intrusi.

Ricordatevi, infine, che le migliori password vanno utilizzate una sola volta per ogni singolo sito web o servizio.

Come rubano le password

In genere ci sono vari modi in cui potrebbero rubarvi la password:

  • indovinandola per tentativi sistematici, quindi con un attacco cosiddetto brute-force;
  • indovinandola sulla base di dettagli che conoscono su di voi, come il mestiere che fate o i dati anagrafici che lasciate in giro;
  • trovandola perchè l’avete lasciata appuntata in qualche posto poco sicuro (ad esempio sullo schermo del PC: NON fatelo mai!)

Se qualcuno scopre la password o accede indebitamente al vostro servizio online, dovrete accedere rapidamente e cambiarla in tempi più brevi possibile. La maggioranza dei servizi come Gmail e WordPress offrono in questo una discreta protezione, in quanto permettono di sloggare contemporaneamente tutti gli altri utenti connessi – che è la cosa più sicura per evitare che qualcuno possa accedere senza il vostro permesso.

In genere, infine, le password difficili da indovinare sono quasi sempre le più sicure. Infine c’è un caso che bisogna conoscere, ed è legato all’eventualità che la sicurezza di base del servizio di cui fate uso sia carente di suo: in questo caso, infatti, le password sono salvate internamente in chiaro (quando invece il dato dovrebbe essere criptato), per cui basta che ci sia un leak o fuga di informazioni per esporre le vostre password pubblicamente. In questo caso ovviamente non c’è complessità che possa reggere: bisogna cambiare servizio, se possibile, oppure una volta scoperto del leak cambiare password e possibilmente anche la username.

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.