Password: 12345

“La Giornata mondiale della password è alle porte e quale modo migliore di festeggiare se non migliorando la sicurezza delle password?”.
Potrei scrivere il mio pezzo così, dando dei buoni consigli.
Ma forse, invece di dare dei buoni consigli, potrei “dare il cattivo esempio” (cit.)…
Allora comincio dandovi dei cattivi esempi di password.

Secondo le statistiche, le password più comuni usate nel nostro paese sono “123456”, “123456789”, “Ciao” e “password”. Poi, a quanto pare, le password più usate sono i nomi delle squadre di calcio.

Ora io mi chiedo: è possibile che sia così? Chi si sognerebbe di proteggere l’accesso al proprio computer personale, al proprio conto bancario, al server aziendale con parole d’ordine, cioè chiavi di ingresso, così prevedibili? Conoscete qualcuno che userebbe come password la sequenza “12345678”? Non ci posso credere. A volte le statistiche lasciano a bocca aperta.

Ma perché password di questo tipo sono “cattive” password?
Perché, come dicevo, sono facilmente prevedibili. Sono come chiavi senza intagli e scanalature, senza dentature o fresature, praticamente dei passe-par-tout.
La caratteristica fondamentale di una buona parola d’ordine è che sia impossibile (o almeno molto difficile) da indovinare. Come una chiave: non dovrebbe essere possibile, giocando con una fresa, realizzare a caso la chiave che apre una serratura.
Giocare con le parole è anche più agevole che giocare con un fresa, per questo dobbiamo essere ancora più attenti con la scelta delle password.

Non ne basta una

Beh, dirà qualcuno, visto che dobbiamo complicarci la vita per inventare una password “buona”, facciamo questo sforzo e poi usiamo sempre quella.
Ecco, anche questo è un cattivo esempio di gestione delle password.

Usare la stessa password, per quanto sufficientemente “buona” (cioè poco prevedibile), non è una buona soluzione. È come usare la stessa chiave per tutte le nostre serrature: quella di casa, quella dell’ufficio, quella del lucchetto della bicicletta, quella della valigia e così via. Nel malaugurato caso in cui la dovessimo perdere avremmo potenzialmente aperto tutte le nostre porte all’estraneo che ne sia entrato in possesso.

È importante avere una chiave diversa per ogni serratura, è importante avere una password diversa per ogni occasione nella quale è richiesta una parola d’ingresso.

Generatori di password

D’altra parte dotarsi di password difficilmente indovinabili non è in fondo così complicato.
Così come le chiavi ci vengono fornite con le serrature, anche per le password esistono modi per ottenerle belle e pronte.

Io ad esempio uso un programma che si chiama pwgen. Genera sequenze casuali di lettere e numeri e volendo anche simboli. Posso richiedere password di qualsiasi lunghezza. La caratteristica di questo programma è che genera password casuali ma “pronuciabili”, in modo che al limite possono essere ricordate con più facilità:

Ahch5Ailai    nief0Vucei    sae6Seilie

chieQu6voh    Un1Rieb6Oo    fohcah5Koh

peeg8Koure    Meithou2bi    Bai8ahpuiD

Ma non è neppure indispensabile avere un programma installato sul vostro computer, esistono generatori di password online. Basta fare una ricerca con il vostro motore di ricerca preferito.
Insomma, non abbiamo più scuse per continuare a usare “123456” come password per qualunque cosa.

“Eppur mi son scordato di te”

Qualcuno obbietterà: moltiplichiamo pure le password, che siano pure password poco prevedibili, ma poi chi se le ricorda?

Questo è quasi un falso problema. Oggigiorno è difficile restare chiusi fuori dai nostri account perché si è dimenticata una password: è noto che i programmi applicativi e i siti web permettono di ricevere password di emergenza per recuperare l’accesso.
D’altro lato esistono programmi per archiviare le password, che vanno da quelli forniti dai vari sistemi operativi, alle funzioni di memorizzazione password dei browser, a programmi pensati appositamente.

Io, ad esempio, uso un programma che si chiama Strongbox: funziona negli ambienti Apple (MacOS e iOS) e l’ho scelto perché può utilizzare gli archivi del programma che già usavo con Windows e Linux: PwSafe.
Non so se sono i migliori programmi nel loro genere, so che sono quelli che uso io.

“La chiave, ricorda, che è sempre lì, lì sulla finestra”

La cosa che non consiglio è quella di usare il “quadernino delle password”, un taccuino nel quale appuntare le password che usiamo. È come lasciare un duplicato della chiave di casa sotto il vaso davanti alla porta, oppure sul davanzale della finestra: può essere una buona idea se lo deve trovare una persona cara, oppure nel caso ci fossimo dimenticati la chiave, ma il rischio è che venga usato da qualche malintenzionato (come accade puntualmente nelle serie anglosassoni).

Tanto meno, direi, vi conviene annotare le password sui post-it appesi al monitor. Datemi retta, usate un programma di archiviazione password, a sua volta protetto da una password.
In fondo anche gli armadietti portachiavi prevedono una serratura.

chiave

Un giorno ci toccherà morire …”

A questo punto devo venire al caso serio, e ognuno faccia gli scongiuri nel modo che sa.
Il fatto è che non siamo eterni… o comunque può venire il giorno che qualcuno debba conoscere le nostre password per utilizzarle in vece nostra.

Il mio consiglio è quello di prevedere una sorta di “testamento informatico”. Mi spiego: se le vostre password sono memorizzate in un archivio di password protetto da una parola d’ordine, sarà sufficiente annotarla su un foglio accompagnata dalle istruzioni per reperire il suddetto archivio e riporre questo foglio in una busta, in modo che in caso di necessità qualcuno di vostra fiducia possa accedere ai vostri account. Insomma: “la chiave, ricorda, che è sempre lì”, ma non propriamente “lì sulla finestra”, piuttosto in un luogo più sicuro sconosciuto ai più, e protetta da una busta la cui apertura è facilmente riscontrabile.

… ma tutti gli altri giorni no”

Clinicamente parlando, io sono classificato come un “paranoico pigro”. Che significa? Che la pigrizia mi salva dalla paranoia.

Con le password dobbiamo avere questo atteggiamento: una certa paranoia moderata da una sana pigrizia. Non si vive per gestire password, così come non si costruiscono case per avere in tasca delle chiavi. Però le chiavi e le password hanno una certa importanza circa la protezione della nostra intimità.
Insomma, dobbiamo saper mettere insieme la gestione delle password con il mestiere di vivere (wow!).

Esiste una maniera creativa, direi addirittura letteraria, per umanizzare la gestione delle password.
Gli esperti in sicurezza ci dicono quanto sia importante la casualità dei caratteri che compongono una password, e quindi è anche importante è la varietà di simboli usati. Per questo è cosa consigliabile non accontentarsi di usare lettere e cifre per comporre una password, ma anche giovarsi degli altri simboli che troviamo nella tastiera.
Accanto a questo criterio c’è però anche quello della lunghezza della password. Anzi, la lunghezza della password rende meno necessaria la varietà dei simboli usati.
A questo punto l’idea sarebbe quella di usare come password frasi di senso compiuto piuttosto lunghe, magari tratte da testi che conosciamo bene, o che abbiamo facilmente sotto mano.

Mi spiego con degli esempi. La password

H$Q@fc7YzMhVxo&*

è considerata “forte”, nel senso che un sistema automatico impiegherebbe più di cento milioni di anni per “indovinarla”.

Al contrario la password

123456789

è considerata “molto debole”: viene indovinata da un sistema automatico in meno di un secondo.

Però la password:

Non piangere salame

è già considerata forte: ci vogliono quindicimila anni per indovinarla…

Ma se aggiungiamo qualcosa, tipo:

Non piangere salame dai capelli verderame

avremo una password considerata molto forte, addirittura più forte dell’imprecazione in lingua skrull che abbiamo visto prima: H$Q@fc7YzMhVxo&*.

E quindi? Quindi scatenate la vostra fantasia o il vostro universo pop e trasformate in occasione letteraria la scelta della vostra prossima password.
Certo, poi non mettetevi a canticchiare il ritornello che avete appena scelto come password, altrimenti i vostri colleghi potrebbero “sgamarvi”.

Stefano Deponti

Per maggiori informazioni:

Sito web: Wallysoft

Telefono: 0332 237077

E-mail: commerciale@wallysoft.it

Via della Ciocca 9, Gavirate (VA)