Password: 7 errori da evitare

TL;DR una rassegna di 7 errori comuni nella scelta e uso delle credenziali di autenticazione, elemento critico nella protezione dei dati personali e della sicurezza dei sistemi informatici.

“Non c’è nulla di più bello di una chiave, finché non si sa che cosa apre.”
Maurice Maeterlinck

Una password è come una chiave: uno strumento, anche se virtuale, che ci permette di accedere a dati e informazioni riservate, come l’elenco dei messaggi di posta elettronica, i documenti del nostro PC, l’accesso alla rete aziendale o casalinga e via dicendo.

Già la parola “password“, parola di accesso, è –allo stato dell’arte– errata: dovremmo parlare di “passphrase“, a sottolineare l’importanza di usare una combinazione lunga e complessa di simboli e caratteri alfanumerici per comporre quella magica sequenza che ci consente l’accesso ai dati e ai servizi di cui necessitiamo.

È forse il sistema di autenticazione più longevo, nel mondo informatico: le password esistono praticamente da sempre, anche da prima che venisse inventato il transistor nel 1947, da Brattain e Bardeem: le famose macchine cifranti “Enigma”, ad esempio, necessitavano l’uso di un codice per permettere la decifrazione, e quindi l’accesso, del messaggio. Ma già da molto prima, dai sistemi di cifratura simmetrici usati fin dall’antichità, la parola chiave rappresenta un elemento critico per la conservazione e la trasmissione d’informazioni riservate.

Eppure, e i dati lo confermano, ancora oggi la scelta di una chiave adeguata è una sfida che molti utenti non riescono ad affrontare correttamente.

Vediamo alcuni degli errori più comuni.

Errore n. 1: troppo semplice

Dovremmo aver imparato che “pippo” e “password” non sono buone password. Facile capirne il perché: sono parole di uso comune e indovinarle è molto semplice, rendendo quindi facilmente vana la misura di protezione.

Forse non sorprenderà scoprire che sono ancora molto usate, insieme a un elenco abbastanza nutrito di altre password fin troppo comuni come:

123456
123456789
12345
12345678
qwerty
juventus
000000
password

Se in questo elenco riconoscete una delle vostre password, è arrivata decisamente l’ora di cambiarla.

Come suggerivo prima, la scelta dovrebbe ricadere su un elenco di 4 parole combinate in modo casuale, per formare una passphrase di almeno 12-16 caratteri contenente un paio di simboli e numeri (se, comprensibilmente, temete di non essere in grado di ricordare certe credenziali, sappiate che più sotto vi spiegherò cosa è un password manager e come usarlo).

Errore n. 2: usare informazioni personali

Per quanto possiamo essere affezionati al nostro cane, usare il suo nome come password non è una buona idea: un attaccante potrebbe scoprirlo piuttosto facilmente, ad esempio attraverso informazioni pubblicate sui social da voi o da qualche familiare!

Tra le informazioni sfruttate dagli attaccanti per cercare di violare un accesso protetto da password, ci sono:

  • nomi di animali domestici;
  • nome del figlio/figlia o della moglie/marito;
  • data di nascita propria o di un proprio caro;
  • targa e/o modello dell’auto o della moto;
  • città di residenza;
  • la propria squadra del cuore;

Molte di queste informazioni sono facilmente recuperabili dai social network o da altre fonti OSINT, come ad esempio partecipazione a concorsi, bandi pubblici etc: spesso è sufficiente digitare il nome e cognome su un motore di ricerca per scoprire molte più informazioni di quelle che si credono. Informazioni, giusto per chiarire, che è bene non usare come credenziale di accesso.

Lo stesso principio è valido anche per quei metodi di recupero credenziali che si avvalgono d’informazioni personali, come ad esempio “quale è il nome da nubile di tua madre?” o similari: ormai è facile risalire a certe informazioni e, in ogni caso, un attaccante ben motivato potrebbe sfruttare tecniche d’ingegneria sociale per scoprirle direttamente da voi. In questi casi, come risposta meglio impostare qualcosa che non abbia senso, ad esempio: “Quale è stata la tua prima auto?” “Burundi”. Per poi aver premura di memorizzare questa risposta nel password manager.

Errore n. 3: usare sempre la stessa password

Usereste una sola chiave per tutte le vostre serrature? La stessa chiave per il portone di casa, l’auto, il garage… Indubbiamente sarebbe comodo ma, in caso di smarrimento o furto, quali sarebbero le conseguenze?

Potreste avere la migliore passphrase del mondo, 16 caratteri casuali alfanumerici con simboli, ma considerando la quantità delle credenziali disponibili nei data breach pubblicati in rete, un qualsiasi attaccante impiegherebbe poco a scoprirla.

Usare una chiave diversa per ogni servizio ci mette al sicuro dalla possibilità che una compromissione delle credenziali, causata ad esempio da una cattiva politica del gestore del servizio stesso, possa mettere a repentaglio anche tutti gli altri nostri accessi.

Errore n. 4: non usare un password manager

Un password manager è come un portachiavi virtuale: un software specifico per la conservazione sicura delle nostre credenziali, dove ricordando una sola –e sicura– password per sbloccare il database, possiamo accedere all’elenco di tutte le nostre parole chiave.

Ne esistono diversi, come Lastpass, Bitwarden, 1Password e KeePass. Personalmente uso ormai da anni, con soddisfazione, KeePassXC, una versione evoluta di KeePass: open source e disponibile per ogni piattaforma, da GNU/Linux ad Android, permette di accedere alle credenziali memorizzate da ogni dispositivo, in qualunque momento. Inoltre, il plugin per Firefox e Chrome permette di utilizzarlo comodamente anche nel browser.

Sarà necessario ovviamente conservare con cura sia la password “master“, per accedere al database, che il database stesso: un po’ come quando nascondiamo la cassaforte, anche se blindata e chiusa a chiave, dietro un quadro in salotto.

Errore n. 5: cambiare password troppo spesso

Quanto è antipatico dover cambiare la password di accesso a un servizio online troppo spesso? Ce ne sono alcuni che, ogni 2 o 3 mesi, chiedono di scegliere una nuova credenziale di accesso! Seppur è consigliabile cambiare periodicamente le credenziali, soprattutto per i servizi più critici, spesso e volentieri l’effetto che queste richieste ottengono è che l’utente reinserisce semplicemente una combinazione sensibilmente diversa della password già immessa, ad esempio “password4!“.

I gestori dei servizi dovrebbero sensibilizzare nell’uso di credenziali di autenticazione sicure, multi fattore (MFA) e uniche, più che costringere i loro utenti a un frustrante cambio periodico delle credenziali stesse.

Errore n. 6: non aderire a una piattaforma di monitoring delle credenziali rubate

La più famosa è indubbiamente ihavebeenpwned dove, inserendo il proprio indirizzo e-mail (usato sempre più spesso come “nome utente“), si ottiene in risposta l’eventuale presenza dello stesso in qualche data leak di cui abbiamo parlato in un punto precedente.

È una operazione importantissima per la propria digital hygiene poiché ci permette di capire se una nostra credenziale è compromessa e, quindi, cambiarla prima che possa essere usata indebitamente.

Ricordarsi di controllare manualmente tutti i nostri account, però, può essere noioso. Per questo esistono servizi, come Firefox Monitor, che permettono di abbonarsi e ricevere una notifica nel caso il nostro indirizzo mail finisca in qualche leak.

Altri servizi per controllare la presenza del nostro indirizzo mail in qualche databreach sono: DeHashed, LeakCheck, SpyCloud e BreachChecker.

Errore n. 7: non usare la MFA dove possibile

MFA, ovvero multi-factor authentication, “autenticazione a più fattori”. Consiste essenzialmente nell’unire, alla consueta coppia username e password, un ulteriore elemento come un codice inviato via SMS o un numero OTP visualizzato in una app come “Google Authenticator“.

Per quanto possa essere una ulteriore scocciatura, questo meccanismo rende difficile a un eventuale attaccante di accedere ai nostri dati anche in caso le nostre credenziali siano state compromesse: senza questo ulteriore codice, generato dinamicamente sul momento, non sarà possibile finalizzare l’accesso.

Già da anni i sistemi di accesso via Internet alla banca (“home banking“) richiedono meccanismi simili e sono ormai sempre di più le piattaforme, ad esempio Google, che permettono di attivarlo sul proprio account. Personalmente, consiglio fortemente di attivarlo ovunque sia possibile.


Nella foto di copertina: armatura rinascimentale in esposizione al museo del Forte di San Leo.

Questo articolo è stato visto 129 volte (Oggi 1 visite)

Hai trovato utile questo articolo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.