Il primo giovedì di maggio si celebra il World Password Day, la giornata mondiale della password.
Ma c’era bisogno di questa ricorrenza?
Decisamente sì: questa giornata ci ricorda l’importanza di proteggerci attraverso password forti e tutte diverse per ogni servizio online che utilizziamo, una buona pratica che viene ignorata troppo spesso.
Prima di passare ai consigli su come creare una password forte e come gestire le decine di password diverse che ci ritroviamo ad avere, vediamo insieme come nasce il World Password Day!
Le origini del World Password Day
Tutto inizia da Mark Burnett, consulente di sicurezza, autore e ricercatore specializzato in sicurezza delle applicazioni, autenticazione e hardening di server e reti basati su Microsoft Windows.
Autore di varie pubblicazioni, nel 2005 pubblica il libro “Perfect Password: Selection, Protection, Authentication”; al suo interno, tra i vari consigli sulle buone pratiche per un uso corretto ed efficace delle password, Burnett suggerisce di scegliere un giorno all’anno e – ogni anno in quella data – aggiornare e “rinfrescare” le proprie password più importanti.
Intel Security si è successivamente ispirata a questa idea, dichiarando il primo giovedì di maggio come il World Password Day, la cui prima edizione si è tenuta nel 2013.
Perché è importante utilizzare password forti, ovvero sicure?
Le password forniscono la prima linea di difesa contro l’accesso non autorizzato alle nostre informazioni personali che possono essere anche particolarmente delicate (dati bancari, informazioni sulla nostra salute, etc.).
A ottobre (mese europeo della cybersecurity) 2021, Google in collaborazione con Euroconsumers aveva lanciato “Space Shelter“, una sorta di videogioco per imparare la sicurezza online.
Giocando si diventa astronaut* e – attraverso missioni e quiz – si apprendono le buone abitudini sulla sicurezza digitale, tra cui la creazione di password sicure e diverse tra loro.
Cosa vuol dire che una password è debole?
Una password “debole” è una password non sicura: può essere facilmente indovinata da altre persone o da un sistema che quindi avrà accesso diretto a una serie di informazioni che cerchiamo di mantenere private.
Di solito una password debole ha queste caratteristiche (tutte o alcune):
- è corta (meno di 8 caratteri)
- non contiene un mix di numeri, lettere, caratteri speciali
- è un nome proprio o una data che per noi hanno particolare significato (nome dei figli, data di nascita, etc.)
- è una parola del dizionario quindi di uso comune / senso compiuto
- è qualcosa di riconducibile alla nostra persona
- è una sequenza facilmente indovinabile di lettere o numeri (qwerty, 12345, etc.).
Come creare una password sicura?
Una password forte è una password sicura, difficile da violare; per renderla particolarmente “inespugnabile” è bene seguire alcune regole:
- più lunga è, meglio è (da 8 caratteri a salire)
- deve contenere lettere, numeri e caratteri speciali
- non deve avere nessun legame con noi e le nostre informazioni personali
- meglio se si tratta di caratteri mischiati in modo “casuale”
Se non avete voglia di pensare a una password che soddisfi tutte queste caratteristiche ci sono una serie di strumenti che lo fanno per voi, come i vari generatori di password (password generator) disponibili online – anche gratis – che creano sequenze di lettere, numeri e caratteri speciali molto complesse e totalmente random.
Oppure, potete farvi aiutare dai browser – come Safari – che al momento di scegliere la password durante la registrazione a un nuovo servizio suggerisce una “password sicura” (riconoscibile perché su sfondo giallo) direttamente nel campo della password da compilare (per usare questa funzione bisogna fare clic sul campo della password, poi cliccare la chiave “Inserimento automatico” e scegliere “Suggerisci nuova password”).
Consigli per un buon utilizzo delle password
Creare una password sicura è il primo passo, ma a poco serve se utilizziamo la stessa per tutti i servizi online o se la scriviamo su un post it appiccicato sul monitor del PC, in bella vista.
Andiamo quindi a vedere come migliorare la propria sicurezza digitale usando le password nel migliore dei modi!
Per ogni servizio una password diversa
La password non va MAI riutilizzata: per sicurezza l’ideale è usarne una diversa per ogni servizio a cui ci registriamo.
Sì, questo vuol dire arrivare a “collezionare” decine e decine di password ma per fortuna vengono in nostro aiuto i gestori password (a cui dedichiamo un punto poco più avanti), quindi non c’è bisogno di impararle tutte a memoria.
Utilizzare strumenti automatici, come i generatori di password, ci risparmia anche la fatica di pensare a sequenze di caratteri tutte diverse tra loro.
Usare un gestore di password (password manager)
Il problema di usare password complesse tutte diverse tra loro è, naturalmente, il rischio di dimenticarle.
Se come abbiamo detto prima consideriamo che ogni persona si iscrive a decine e decine di servizi online (banca, ecommerce, supermercati, app, servizi al cittadino, software, social network, account di lavoro, etc.) il “rischio” di non riuscire a tenerle a mente tutte diventa una certezza.
Sapendo di non poter far affidamento esclusivamente sulla nostra memoria bisogna trovare un sistema sicuro per gestire tutte queste password; post it appiccicati nei posti più in vista e bigliettini volanti non solo sono sistemi scomodi, ma anche rischiosi: il pericolo che le password vengano perse o finiscano nelle mani sbagliate è altissimo.
Lo strumento ideale per gestire e mettere al sicuro le proprie password – potendole recuperare in modo facile e veloce all’occorrenza – sono i gestori di password, piattaforme che permettono di tenere traccia delle proprie password in modo del tutto sicuro, un po’ come fossero delle casseforti.
Questi strumenti possono essere gratuiti o a pagamento e offrono molte funzioni comode: avvisano quando una password è debole o è stata violata, danno la possibilità di custodire anche i dati delle carte di credito e così via.
Ai password manager tempo fa avevamo dedicato un approfondimento citando i principali; il nostro consiglio comunque è Bitwarden, gratuito anche su più dispositivi (lo stesso account può essere utilizzato da desktop e dall’app mobile) e open source.
Certo, come tutte le casseforti anche i gestori di password richiedono una combinazione per essere aperti, e in questi casi è… una password! Ma è appunto l’unica che dobbiamo fare lo sforzo di ricordare 🙂
Prima di concludere: password o passphrase?
Non possiamo parlare di password efficaci e sicurezza senza menzionare anche le passphrase.
Che cos’è una passphrase? Si tratta sempre di una parola di sicurezza ma, invece di essere un mix di caratteri alfanumerici è una frase (di senso compiuto o meno) formata da più parole (divise da spazi o meno).
- Esempio di password tipica: f4ghj7?’AbtM$
- Esempio di passphrase: il tavolo fuxia nel prato / iltavolofuxianelprato
Quali sono quindi le caratteristiche di una passphrase rispetto a quelle di una password?
- la passphrase è più lunga (20-30 caratteri)
- è formata da parole (divise tra loro da uno spazio o meno)
- è più facile da ricordare
- è più difficile da decifrare
- non vengono usati caratteri speciali per sostituire le lettere dell’alfabeto
- non vengono mischiate lettere maiuscole e minuscole
Le passphrase sono più sicure delle password?
Di solito per violare una password si utilizzano programmi automatici che ripetono le combinazioni di password più e più volte fino a quando non viene decifrata.
In questi casi una password lunga risulta più efficace (e quindi sicura) di una password con molti caratteri speciali ma corta; in media una password breve (7 caratteri) che include lettere maiuscole, lettere minuscole, numeri e caratteri speciali può essere violata in circa sei minuti.
Una passphrase che usa solo lettere minuscole ma che ha 14 caratteri invece di 7 richiederebbe 51 anni per essere decifrata!
Questa regola vale sempre? Non proprio.
Una password di 20 caratteri composta da lettere minuscole casuali, infatti, è molto più forte di una passphrase di quattro parole composta da parole comuni.
Cosa scegliere quindi per una maggiore sicurezza? Password o passphrase?
Se vengono create in modo efficace entrambe le opzioni sono valide e sicure se utilizziamo un gestore di password per custodirle, e quindi non dobbiamo fare affidamento solo sulla nostra memoria.
Se, invece, dobbiamo ricordarle a memoria senza alcun aiuto è meglio ricorrere alle passphrase (più facili da tenere a mente), prendendo alcuni accorgimenti:
- usare 4 o 5 parole
- non usare parole molto comuni, citazioni o modi di dire poiché la sequenza di parole dovrebbe essere il più possibile casuale
- come per le password, anche con le passphrase vale la regola di usarne una diversa per ogni account
E voi, cosa usate? Password o passphrase?
Fatecelo sapere nei commenti, e buon World Password Day a tutt*!