Quando è in gioco la sicurezza dei dati personali, vale la pena di spenderci sopra qualche minuto e capire a fondo gli elementi più importanti. Difatti non esiste un sistema migliore degli altri: occorre passarli tutti in rivista e poi scegliere quello che meglio si adatta alle proprie esigenze.
Lo scopo di questo articolo è di diffondere la pratica della sicurezza nelle necessità quotidiane di accesso ai nostri dati su internet.
In particolare, ci concentriamo qui sulle password.
Vediamo passo passo quali sono i problemi pratici da affrontare e le soluzioni possibili.
Sopratutto, scopriamo come creare delle password molto sicure ma semplici da adoperare.2
Come scegliere una password sicura:
Una parola segreta è sicura se risulta estremamente difficile per chiunque indovinarla.
La scelta di una password sicura può essere affrontata in numerosi modi, tuttavia le linee principali sono quelle che seguono.
Una password sicura di norma è:
- lunga (non meno di 8 caratteri, meglio intorno ai 15 caratteri)
- contiene sia lettere maiuscole che minuscole
- contiene numeri
- contiene caratteri speciali come ` ! ” ? $ ? % ^ & * ( ) _ – + = { [ } ] : ; @ ‘ ~ # | \ < , > . ? /
- Non è mai una parola di dizionario, un nome o soprannome di persona (anche del cane o del gatto), una password già usata in passato oppure in uso su altri siti, né deve essere uguale o simile al proprio “nomignolo” nel sito (spesso definito come id).
Trasformare la “parola segreta” in una “frase segreta”
Una delle soluzioni più consolidate e valide per la sicurezza è ripensare la “parola segreta” (password in inglese) nella direzione di una “frase segreta” (passphrase in inglese).
È solo una questione di lunghezza, non ci sono altre differenze fra password e passphrase4, ma cambia i risultati drasticamente.
Fra i vantaggi di una password lunga (frase segreta):
Si ricorda molto meglio di una password breve con caratteri astrusi.
Permette un maggior numero di combinazioni anche solo adoperando lettere e numeri (senza caratteri speciali).
Sui telefonini, è molto più facile scrivere caratteri alfabetici che tanti simboli, quindi è una vantaggio anche per chi (sempre più) adopera i cellulari per accedere ad internet.
Occorre ovviamente che le frasi non facciano parte di testi noti (romanzi, poesie,…), anche se già cambiare alcune parole e dettagli (maiuscole, punteggiatura,…) può garantire un buon livello di sicurezza.
Non occorre invece che la frase includa spazi.
Vabeneunafrasecomequestamasarebbemegliocheleparolenonfosserologicamentecollegate
🙂
Scegliere una manciata di parole a caso, non troppo lunghe, è una buona idea.
Nel caso di una frase lunga ecco che l’avere parole esistenti nei dizionari non è più un problema grave come nel caso di password molto corte.
Ovviamente un po’ di f@nta$ia nello scrivere aiuta ancora sempre 🙂
Così come aiuta, magari, adoperare un miscuglio di lingue diverse.
I sistemi che la maggior parte delle persone adoperano per alterare una frase sensata sono, in realtà, abbastanza noti e prevedibili: su questi sono costruiti interi programmi di… recupero password.5
Ecco che una frase segreta è molto utile perché risulta piuttosto facile da ricordare.
Invece di sbizzarrirsi con parole segrete brevi e contorte tipo al04w7|)zyB{^g\ è più comodo e sicuro scegliere una frase segreta come verde.dischi.marte.tre.gambe.alieni.cielo.6
Un trucco sperimentato per costruirsi una frase segreta:
- aprire un libro a caso
- fare un puntino a caso con la matita sulla pagina
- prendere la parola segnata, purché non sia troppo lunga (massimo 5-7 caratteri)
- ripetere l’operazione per 6-10 parole per ottenere una frase7
Perchè la password deve essere complicata?
È una seccatura, anzi è quasi impensabile per molti utenti pensare a password complesse, eppure è l’unico modo per stare veramente al sicuro: se inseriamo un codice di accesso come “ciao”, come il nostro nome o come password o 12345, chiunque dovesse provare ad accedere per tentativi avrebbe discrete possibilità di entrare nell’account a nostra insaputa.
Molto meglio, quindi, come regole generali:
usare password mai banali o corrispondenti, per dire, a numeri o date di nascita;
utilizzare ogni singola password una ed una sola volta per ogni sito, servizio o email;
fare uso di varianti non scontate di una password base che ricordiamo bene, ad esempio, ed introdurre delle complessità al suo interno (come caratteri non alfabetici, numeri e via dicendo).
Può sembrare una complicazione inutile, a pensarci all’inizio, ma non è affatto così: scegliere una buona password è importante, specialmente se si tratta di servizi che includono l’accesso a servizi di pagamento (Ebay, Amazon) o e-commerce devono rimanere una vostra esclusiva. Non esistono termini consigliati da usare all’interno delle proprie password: anzi, è opportuno usare termini originali o fantasiosi (parole inventate, combinazioni originali di maiuscole, minuscole, numeri e simboli, ecc.) che spesso sono anche più facili da ricordare (per noi).
Il giusto compromesso, in effetti, sta nel trovare una password che sia difficile da indovinare per gli estranei e relativamente facile da ricordare per noi.
Custodire la password
Gestori di password. In genere le password possono essere salvate e gestite mediante appositi gestori di password; in alcuni browser come Firefox, ad esempio, compresa l’ultima versione Quantum, è presente un gestore delle password integrato. Esso possiede un grosso vantaggio lato sicurezza: permette infatti di gestire e proteggere le nostre password mediante una super password globale. Questo significa che accedendo con il nostro browser sarà possibile vederle salvate solo digitandola correttamente, impedendo così ad estranei o a malware che accedano al nostro PC di visualizzarle.
Fino a qualche tempo fa si utilizzava anche un Password Exporter cioè un modulo per esportare le password su file e importarle su un altro browser a scelta, previo inserimento di una password: questo significa che erano salvate in forma criptata, quindi sicura per import/export. Tuttavia questo modulo non è ancora stato aggiornato per Quantum, e la speranza resta che tale porting sia fatto a breve. Ci sono anche gestori di password che lavorano e memorizzano sul cloud ma, in questo caso, bisogna fare attenzione alla scelta che si fa: i migliori sono quelli che supportano una crittografia end-to-end, se questa cosa è riportata esplicitamente tra le sue caratteristiche.
Un altro modo più semplice per custodire le proprie password è quello di scriverle in un posto sicuro, ma in questo caso ovviamente non è il caso di portarsi in giro l’appunto ed è opportuno tenere in un cassetto accessibile solo a noi il tutto. Preferibilmente segnatevi solo le password e non le username affiancate, perchè così vi servirà giusto come appunto e non darete preziose informazioni ad eventuali intrusi.
Ricordatevi, infine, che le migliori password vanno utilizzate una sola volta per ogni singolo sito web o servizio.