Pubblicato oggi di Repubblica.it il report annuale di SplashData, azienda specializzata in sistemi di identificazione avanzati, sulle password più utilizzate (ovviamente, spero, solo relativamente ai loro sistemi !).
Al primo posto troviamo l’immancabile ‘123456‘, seguita dalla banale ‘password‘ e da ‘12345‘. Seguono poi un elenco di altre password comuni, decisamente banali e tutt’altro che sicure.
Ammetto che mi sono imbattuto anche io nella ‘123456‘, che può essere anche ‘1234‘ o ‘123456789‘ a seconda della lunghezza minima richiesta dal sistema. Mi sono scontrato anche con password scritte a penna su un post-it attaccato al monitor, con nomi di animali, di mogli, targhe di auto, date di nascita etc etc etc…
Mi sono imbattuto anche in paranoici che saltellavano con le dita su decine di tasti solo per sbloccare lo screensaver, spesso in difficoltà perché nel digitare la loro lunghissima sequenza di protezione sbagliavano a premere un tasto.
Insomma, in tanti anni ne ho viste di tutti i colori. Nulla di grave, per carità, anche perché spesso si trattava di sistemi casalinghi o, comunque, senza contenere dati di alcuna vera importanza se non per la persona proprietaria. Ma quando, invece, si trattava di terminali di lavoro, non mi sono mai trattenuto dal suggerire password più sicure e meno banali: come il backup, è una accortezza che sembra inutile fino a che non se ne ha reale bisogno !
Senza voler fare dell’inutile terrorismo, dopo anni in cui alternavo fasi di paranoia ad altri estremamente rilassati, credo di aver raggiunto un connubio soddisfacente tra la necessità di ricordare a memoria i codici di accesso e la complessità minima necessaria a non renderli banali.
Le regole di sicurezza minime, inderogabili, per una password sono:
- niente date di nascita o di morte
- niente nomi di figli, genitori, coniugi o animali domestici
- niente targhe di auto o indirizzi
- almeno 8 caratteri alfanumerici, tra cui un numero
- niente frasi comuni,sequenze numeriche o parole di senso compiuto
Rispettando queste 5 regole si dovrebbe quantomeno evitare di essere vulnerabili ad attacchi di forza bruta (brute force attack) ed attacchi a dizionario.
In Rete trovate decine di tutorial che spiegano come elaborare buone password facili da memorizzare, usando ad esempio gli acronimi (una frase del tipo HoAvutoIlMioPrimoLavoroNel2000 può diventare una ottima password, come haimpln20) ma ho sempre pensato che la soluzione migliore e più sicura fosse usare proprio un generatore automatico di password (come il comando ‘apg‘), disponibili anche on-line (ad esempio Automated Password Generator Online), e poi utilizzare un sistema centralizzato per la gestione delle stesse, come KeePass, disponibile per Linux, Windows ed Android.
Ovviamente sconsiglio di adottare inutili politiche paranoiche: per il vostro account sul “forum degli amici del libro” potete anche scegliere una password più rilassata…
Per finire, è una buona abitudine appuntare le password più importanti (PIN del Bancomat, del conto corrente, della posta di lavoro, hosting del proprio sito web….) su un foglio di carta (…di carta…), anche in forma cifrata (traslitterata, inversa…), da conservare in luogo sicuro: nella vita, non si sa mai…