Quanto è sicura la mia password ?

“Il 99% dei problemi di un PC… è dato dall’elemento presente fra la tastiera e la sedia.”

Lo ammetto: credevo che la mia password, o almeno quella che ritengo la più importante tra le svariate password che utilizzo, fosse sicura. Oltre 10 caratteri, di cui alcuni numerici: una rarità, nel mondo dei “pippo” e degli “12345”.

Ho appena scoperto, grazie al portale HOW SECURE IS MY PASSWORD?, che un computer potrebbe scoprirla in neanche un mese. Evidentemente non è così sicura come credevo.

Come dice, provocatoriamente, l’aforisma in testata, spesso e volentieri le intrusioni nei sistemi informatici vengono rese possibili dall’uso di password deboli o, peggio ancora, quelle di default. O da password relativamente sicure ma, ingenuamente, scritte sul post-it appiccicato al monitor della propria scrivania (abitudine ancora piuttosto frequente).

Per avere un’idea delle password più usate, sono disponibili in rete veri e propri elenchi (“vocabolari”), utilizzati principalmente per operazioni di attacchi a forza bruta.

Come scegliere una password sicura ?

Sicuramente sono da evitare date di nascita, nomi di mogli, figli e fidanzate, luoghi, il nome del proprio animale domestico e la targa della propria auto.

In genere, la password deve essere legata ad un ricordo ma poi adeguatamente trasformata per “rinforzarla”, senza però correre il rischio di dimenticarla.

Ad esempio, mettiamo che nella mia infanzia ho particolarmente amato Manzoni nei suoi “Promessi sposi”. “promessi sposi” è scopribile in circa 111 migliaia di anni per un PC ma, probabilmente, con un attacco da vocabolario sono sufficienti 5 minuti. Proviamo a togliere lo spazio e scambiare la posizione delle parole: “sposipromessi“. 2 anni per un PC. Adesso sostituiamo la lettera “o” con un “0” (zero, numero) e la “i” con un “!” (uno, numero): “sp0s!pr0mess!“. 13000 anni per un PC e sicuramente non troviamo questa password in un vocabolario (almeno fino ad ora).

Ovviamente, lo ripeto e sottolineo, questo è solo un esempio. Scoraggio fortemente di usare questa password, perché è necessario che ognuno di noi elabori la sua personale, eventualmente da modificare a seconda delle circostanze.

Sul web, in ogni caso, esistono numerosi generatori di password sicure casuali: un po’ troppo casuali, per i miei gusti. Ci sono anche strumenti per la generazione di password pronunciabili, probabilmente meno sicure ma decisamente meno ostiche per la memoria.

Importante tuttavia che ogni password sia:

• composta di almeno 8 caratteri alfanumerici;
• contenga almeno un numero;
• contenga, possibilmente, almeno un simbolo;
• non sia, in alcun modo, riconducibile alla propria vita;
• non sia scritta, in nessun caso e per nessun motivo, da alcuna parte;

Ovviamente anche l’uso che ne facciamo è importantissimo ! Le best practice impongono che ogni password sia usata solo una volta, per un unico servizio e/o portale: questo perché, nel caso di leak (piuttosto frequenti, come dimostrano episodi anche recenti come quello accaduto al portale Ashely Madison), sarebbe compromesso solamente quel servizio.

Cosa dice la normativa italiana ?

Il garante della privacy, nell’allegato B “Disciplinare tecnico in materia di misure minime di sicurezza” del Codice in materia di protezione dei dati personali, ha introdotto delle norme basilari di sicurezza per tutti i sistemi informatici che trattano dati personali o sensibili (si applica in particolare a Enti, aziende e liberi professionisti), richiedendo che ogni utente abbia le sue credenziali personali (non account di accesso “generici”) e che la password sia almeno di 8 caratteri alfanumerici e modificata almeno una volta ogni 6 mesi.

Troppe password ! Come faccio a ricordarle tutte ?

Ci sono software, come ad esempio KeePass, che permettono di memorizzare una serie di dati, tra cui le password, in un archivio (file) cifrato e protetto da …password ! Tuttavia, basta ricordarne una per avere accesso a tutte le altre, pertanto è il caso di ponderare bene la password scelta per l’archivio delle password. KeePass ha anche l‘app per Android, scaricabile da Google Play.