Quasi settimanalmente si legge che un sito, pur importante, è stato piratato. Spesso questi attacchi significano che i vostri dati personali sono stati compromessi e potenzialmente in mano a sconosciuti non sempre ben volenti nei vostri confronti. Qui di seguito qualche considerazione su un corretto uso e scelta delel password e sui gestori di password, ovvero software o servizi web che servono ad immagazzinare in maniera sicura le vostre oramai numerosissime password.
Numerosissime perchè non fate lo sbaglio di avere sempre la stessa per tutti i siti, verooooo?.
Le migliori pratiche per le password e la sicurezza on line.
La maggior parte dei siti si affida ad un semplice processo di login, nome utente/password per avere accesso ai propri dati.
Come miglior pratica di sicurezza online DOVETE avere una password che sia lunga, complessa ed unica per ogni sito web in cui avete un account.Le password sicure dovrebbero essere dunque:
- Lunghe– Più lunga è la password, più difficile e complesso sarà per un hacker scoprirla.
- Complessa – Aggiungendo caratteri strani alla vostra password aggiungete complessità alla entropia delle password. L'entropia della password non è altro che la misura di quanto sia NON predicibile, misura basata sul set di caratteri usati (maiuscole, minuscole, numeri e simboli insieme alla lunghezza stessa della password). Fondamentalmente dovrebbe essere un qualcosa di impronunciabile, anche se su questo si può discutere, vedi oltre.
- Unica – DOVETE avere una password differente per ogni vostro account. Non si scherza su questo. Ogni login di ogni sito deve essere unico e non usato altrove.
Tutto molto logico, più facile a dirsi che a farsi, ma sfortunatamente nel mondo reale, ottemperare a tutti questi criteri è praticamente impossibile senza l'uso di un gestore delle password.
Un gestore di password è un software o un servizio online che in maniera sicura e crittografata custodisce TUTTE le vostre password.
Io uso un piccolo software da installare sul PC (ma esiste anche la versione MAC e per Android) che si chiama Keepass , ma ho usato anche un servizio online LASTPASS (anche in italiano).
In entrambi i casi il meccanismo è lo stesso: immettete una volta per tutte le vostre password in uno di questi sistemi e da quel momento dovrete ricordare una sola password, quella da voi scelta per il gestore di password usato, ovviamente la più difficile possibile (vedi oltre). Una volta entrati sarete in grado di consultare (e copiare/incolalre) ogni vostra password. Inoltre questi sistemi sono in grado di autocompilare i login dei siti che visitate per cui non dovrete nemmeno andare a vedere che password avete usato per un determinato sito.
Più facile a farsi che a dirsi, vi assicuro. E più sicuro dei fogliettini sulla scrivania o del file di testo nel computer...
Ma perche usare un gestore di password? Lo scenario da incubo...
A parte il vantaggio di risparmio delle vostre meningi in sforzi mnemonici sopra descritto, se usate lo stesso indirizzo email e la stessa password per molteplici siti ai quali vi siete registrati cosa succede se uno di questi viene piratato e le vostre credenziali cadono in mano a malintenzionati?
La vostra email e la vostra password sono ora in una lista che può essere usata per tentare di loggarsi ad altri siti. Se usate la stessa password e email per tutti i vostri siti a questo punto un hacker è capace di entrare in tutti i vostri account.
Una volta che la vostra password è stata compromessa dovrete dunque aggiornare le informazioni individualmente su ogni ingolo sito web con le stesse credenziali. Ve li ricordati tutti? E se ripetete lo sbaglio di avere la stessa password per tutti è probabile che questo scenario da incubo si ripeta e dobbiate ripetere l'operazione di aggiornamento in futuro.
... e non usate password comuni...
Ecco una lista delle passwords più comuni del 2016. Ne riconoscete qaualcuna delle vostre?
1. 123456 | 10. 987654321 | 19. 555555 |
2. 123456789 | 11. qwertyuiop | 20. 3rjs1la7qe |
3. qwerty | 12. mynoob | 21. google |
4. 12345678 | 13. 123321 | 22. 1q2w3e4r5t |
5. 111111 | 14. 666666 | 23. 123qwe |
6. 1234567890 | 15. 18atcskd2w | 24. zxcvbnm |
7. 1234567 | 16. 7777777 | 25. 1q2w3e |
8. password | 17. 1q2w3e4r | |
9. 123123 | 18. 654321 |
Una piccola postilla
E' proprio vero e necessario che una password debba essere complicata. A volte basta che sia moooolto lunga...
Traggo quanto sotto da una interessante e intelligente riflessione dell'amico e collega Francesco Leonetti. La troverete per intero qui.
"[una] nuova password deve soddisfare una serie di requisiti che mentre complicano (e di molto) la vita a me, a malapena scalfiscono coloro che sono interessati a sgamarla. Dunque, perché complicarci inutilmente l’anima?
Gli algoritmi e sistemi di brute-force attack non sono infatti molto sensibili a quanto criptica e complessa sia la password, quanto alla sua lunghezza e casualità della sequenza di caratteri o frase.
Ad esempio, per indovinare questa password:
J5be>p3#
ci vogliono 2 giorni di calcolo. Mentre per quest’altra:
cicca-tricca-pucca-bum!
ci vogliono dieci quintilioni di anni. Assai. Sono davvero tanti. Quale delle due ricordereste meglio?
Potete voi stessi controllare quanto sia inattaccabile una password usando questo sito, oppure quest’altro. "
Dunque meglio "ladonzellettaviendallacampagna" che "aisdu6258/&$"