Tempo di lettura stimato: 8 min.
Articolo
La forma di autenticazione più diffusa prevede l’utilizzo di un nome utente e di una password. La password deve essere scelta con attenzione per evitare che qualcuno possa scoprirla. In questo articolo ti indichiamo come scegliere una password sicura, come crearla e proteggerla da furti e da attacchi da parte di criminali informatici (hacker).
- Quando una password si definisce sicura
- Regole per generare una password forte
- Quando cambiare la password
- I password manager
Come scegliere una password sicura per l’Autenticazione
I dati personali per essere sicuri devono avere un alto fattore di riservatezza, cioè devono essere protetti da accessi NON autorizzati.
Per accedere nel sito, in un’applicazione o in un dispositivo (smartphone, notebook, tablet, …) un utente deve completare un processo di autenticazione, durante il quale il servizio o lo stesso dispositivo verifica la corretta identità.
La forma di autenticazione più diffusa prevede l’utilizzo di un nome utente e di una password (o chiave di accesso).
A differenza del nome utente, la password deve essere scelta con attenzione e pertanto bisogna seguire alcune raccomandazioni. Nel seguito si riportano alcuni consigli semplici ma efficaci per scegliere una password sicura.
Password sicura o non sicura
Il 7 maggio 2020 si è celebrata l’ottava giornata mondiale della password, istituita nel 2013 da Intel Security per sensibilizzare le persone su quanto sia importante proteggere i propri account. Difatti diverse ricerche indicano che molti utenti continuano a utilizzare password deboli (come «123456») e non sono coscienti dei rischi che corrono. Una password non sicura è individuabile in pochi secondi anche da un criminale informatico alle prime armi. La pigrizia e la mancanza di formazione/sensibilizzazione sulla tematica ci portano a usare password fragili e a riutilizzarle su più siti. Il caso opposto vede le persone utilizzare password con una sequenza faticosa da ricordare (ad esempio 757GHdfster%&_957£”) che memorizzano nella rubrica del proprio smartphone o su un post-it incollato al monitor del PC di casa o dell’ufficio. Anche in questo caso seppur complesse le password sono facilmente recuperabili dai malintenzionati.
Come regola generale, una password efficace deve essere almeno di dieci caratteri in quanto i criminali informatici utilizzano strumenti che procedono per tentativi e quindi più lunga sarà la sequenza da replicare, tanto più difficile sarà la sua individuazione. Tale regola tuttavia deve poter coesistere con un’altra importante caratteristica che qualifica una password come efficace: la facilità di ricordarla.
Infine, è necessario evitare elementi riconducibili alla vita privata (il titolo della canzone preferita, le frasi che pronunciamo spesso, il nome dell’animale domestico) o password che contengano informazioni personali come nome e cognome, numero di telefono, strada in cui risiediamo, nomi di parenti, date di nascita, contatto email; insomma tutte quelle informazioni alle quali è facile risalire.
Come scegliere una password sicura?
La scelta migliore è di definire delle nostre regole per generare la password (regole di generazione) ed inserire qualche errore grammaticale e parole inventate che per noi hanno un significato, oppure elementi dialettali.
Qualche esempio per scegliere una password sicura:
- Scegliamo una parola con alcune lettere maiuscole;
- Trasformiamo alcune lettere in numeri;
- Utilizziamo una parola inventata o del dialetto;
- Utilizziamo caratteri o parole associate al sito per il quale ci stiamo registrando.
Meglio EVITARE le lettere accentate in quanto differenti in base alla lingua della tastiera e al sistema operativo utilizzato.
La password dovrà contenere almeno 10 caratteri. Inoltre è preferibile NON usare la stessa password per più servizi (Facebook, Twitter, Gmail, …).
Tool on-line per generare password sicure
In Rete sono presenti alcuni tool che permettono la creazione di una password sicura (come descritto in precedenza). Ad esempio, puoi utilizzare il “Generatore di password casuali” fornito da Avast, che trovi a questo link.
Una corretta gestione della password
La corretta gestione delle password consiste nel mantenerla segreta, quindi non divulgarla a nessuno e non scriverla in nessun luogo non sicuro, evitiamo di scriverla su carta (ad esempio i post-it), di salvarla nella rubrica telefonica e di effettuare il salvataggio automatico tramite browser (rispondere Mai e No ai seguenti messaggi).
Quando cambiare la password
Dopo aver visto come scegliere una password sicura dobbiamo capire quando cambiarla (aggiornarla). Come regola generale non è consigliabile utilizzare sempre la stessa password poiché anche quella più complessa potrebbe un giorno essere scoperta dagli hacker. Dall’altro lato cambiare spesso la password non serve a molto e porta a sforzi inutili.
Dobbiamo cambiare immediatamente la password siamo venuti a conoscenza che è violato un sito al quale siamo registrati (i criminali hanno effettuato con successo un attacco informatico per reperire le password degli utenti registrati), quando abbiamo la certezza o la sensazione che qualcun altro ne sia venuto a conoscenza (ad es. qualcuno ci ha spiati mentre la digitavamo).
In generale, è consigliabile cambiare la password una volta l’anno.
Per verificare la violazione del sito dove siamo registrati, possiamo utilizzare il servizio Have I been Pwned?: inseriamo il nostro indirizzo email, clicchiamo sul pulsante “pwned?” e attendiamo l’esito. In caso di esito negativo cambiamo immediatamente la password dell’account!!!!
Ad oggi, sono diversi i servizi che inviano mail informative agli utenti in seguito ad accessi ai siti da dispositivi diversi rispetto a quelli usuali. Ne sono un esempio: Gmail, Facebook e Dropbox. Prendiamo l’abitudine di controllare nella mail registrata la presenza di mail come quella che segue e verifichiamo se è un accesso lecito; in caso contrario procediamo a cambiare immediatamente la password.
Le domande di ripristino
Un’altra abitudine scorretta riguarda l’utilizzo delle informazioni sulla nostra vita privata per la domanda di ripristino della password, come “Qual è il nome della tua scuola elementare?”, “Qual è il cognome di tuo padre?”. Il criminale informatico potrebbe impossessarsi di tali informazioni visionando il nostro profilo sul social network (ad esempio Facebook) o tramite di un nostro amico/parente. In tal caso la raccomandazione è semplice: rispondere a caso.
Evitiamo il social login
Altra raccomandazione è quella di evitare di registrarci a un sito usando il login con Facebook, Google, LinkedIn e altri siti che prevedono il cosiddetto “single sign-on”. Pur essendo un servizio pratico (ci evita di dover inserire ogni volta i nostri dati oltre a dover scegliere password sempre nuove per ogni sito), porta ad esporre più informazioni di quante ne siano necessarie (ad esempio si potrebbe condividere la nostra data di nascita anche se non necessaria) oltre al fatto che un criminale potrebbe venire a conoscenza di tutti i nostri account con un solo attacco.
I password manager
Come detto in precedenza, è consigliabile avere una password diversa per ogni applicazione: una per la mail, un’altra per Facebook, un’altra ancora per Twitter, e così via. Evidentemente ciò porta a dover ricordare un gran numero di password.
Per aiutarti nella gestione delle password è possibile utilizzare delle applicazioni (alcune gratuite, altre a pagamento), chiamate Password Manager, che permettono di generare password robuste e di memorizzarle per un veloce accesso: raccolgono tutte le chiavi e le rendono accessibili da qualunque dispositivo (PC, smartphone, tablet), proteggendole tramite un’unica master password.
In questo modo tramite un’unico codice è possibile accedere a tutte le password memorizzate e con un click l’applicazione provvederà automaticamente a popolare il modulo di accesso con il nome utente e la password memorizzata.
Le applicazioni più famose sono LastPass, 1password e Dashlane. Guarda il nostro articolo con la guida completa sull’utilizzo dei Password Manager.
Sull’utilizzo delle applicazioni di password manager ci sono idee contrastanti tra gli esperti in sicurezza: alcuni li raccomandano altri li sconsigliano fortemente.
Il vantaggio del loro utilizzo è rappresentato dalla comodità di dover ricordare un’unica password per accedere da qualsiasi dispositivo a tutte le altre. Al contrario, concentrare in un unico luogo tutte le chiavi rappresenta un bersaglio sul quale i criminali informativi punteranno i tentativi di attacco.
In definitiva
Ti consigliamo di ricordare le diverse password attraverso le regole di generazione presentate in precedenza, individuando una password per ogni applicazione o sito (social network, mail, …) soprattutto per quei servizi che trattano i nostri dati personali o le informazioni più riservate. Manteniamo segrete le password e attenzione a chi potrebbe sottrarle in fase di digitazione.
L’utilizzo di un password manager invece è utile per i siti meno critici, come ad esempio quelli relativi ai supermercati, per l’acquisto di coupon, per prenotare il ristorante, ecc. In questo modo potremmo comunque utilizzare password robuste ma con la comodità di dover ricordare un’unico codice per recuperare tutte le chiavi dei servizi “meno critici”.
Seguendo le nostre indicazioni e i nostri consigli sarai in grado di creare e gestire in sicurezza le tue password!!!
ISCRIVITI ALLA NOSTRA NEWSLETTER
Ricevi periodicamente una mail con le ultime pillole e gli ultimi articoli pubblicati
CONDIVIDI QUESTO ARTICOLO
Contribuisci alla diffusione della cultura digitale
INVIARCI SEGNALAZIONI O RICHIEDI LA PUBBLICAZIONE DI UN ARTICOLO
LEGGI TUTTI I NOSTRI ARTICOLI
Accresci le tue conoscenze, abilità e competenze per proteggere le informazioni
