Password (s4)

[articolo in bozza. I consigli sono da valutare con prudenza]

In questo articolo: Un bel dilemma, Come sopravvivere? Password facili, ma senza esagerare, Password mediamente sicure, Password sicure, Ultrasicure, ma non per tutti, Come ricordarle tutte?  La metafora delle chiavi, Quando la dimantichiamo, Quando il PC la ricorda, Dove non fidarsi, Quando dobbiamo usarla in un PC pubblico e insicuro, Quando è il sistema che non si fida di noi, Se temiamo di averla resa accessibile ad estranei, Come e quando cambiarla, Esempi di password con diversi gradi di sicurezza,  Consigli dal web, Creare automaticamente una password, Controllare la sicurezza di una password Grado di difficoltà: facile migliorare un pochino la sicurezza delle proprie password, difficile riuscire a gestirne molte a un grado alto di sicurezza.

Un bel dilemma

Quello delle password è un argomento ampiamente trattato in Internet, eppure tanti tralasciano le minime cautele, sperando che gli vada bene. Bisogna riconoscere però che la strada per chi vuole tutelarsi è piena di difficoltà. Il da farsi è un bel dilemma, da una parte una strada facile ma rischiosa, dall’altra una quasi impossibile. Esiste una via di mezzo? Arriverà il giorno in cui forse potremo farne a meno, ma per ora l’uso delle password è diffusissimo e sei prevede che lo sarà ancora per molto.

Come sopravvivere?

Una password “ultrasicura” è quasi sempre difficile da ricordare e se fortunatamente si riesce a inventarne una che riusciamo a fissare nella nostra memoria, non la potremo usare per più di un account e prima o poi la dovremo cambiare. E così saremo da capo. Tutti gli esperti consigliano di non usare un’unica password per diversi account. Non considerano però che la maggior parte degli account non protegge alcun valore significativo. Per ordinare un libro in biblioteca o per vedere quando scade il prestito si può accedere con il codice fiscale e una password. Cosa se ne potrebbe fare un hacker? Per questi servizi potremo usare tranquillamente password semplici e facili da ricordare e magari anche proprio la stessa, perché no? Dovremo stare attenti però  a non effettuare mai operazioni con questi account che aprano la strada a dati personali importanti.

Password facili, ma senza esagerare.

Oggi la maggior parte degli account esige l’uso di almeno 8 caratteri e chiedono di mescolare lettere minuscole, maiuscole, numeri e segni tipografici vari. Senza arrivare ad applicare tutto questo è comunque consigliabile evitare sole lettere minuscole e parole di senso compiuto (quelle che si trovano sul vocabolario ad esempio) o soli numeri. Non è difficile inserire, in una parola inventata una lettera maiuscola e magari un numero. Il grado di sicurezza ne beneficerà molto.

Password mediamente sicure

Ci sono poi gli account per servizi di una certa importanza, come ad esempio la posta elettronica che utilizziamo anche per corrispondenza riservata, per i social network, o per nostri blog o siti che essendo esposti al pubblico comportano delle responsabilità e nelle mani di una intruso possono farci fare come minimo delle figuracce. Quanti possono essere questi account? Sempre troppi per la nostra memoria ma qui è necessario fare uno sforzo e adottare password mediamente sicure che possiamo ottenere con 8 caratteri ben assortiti o con un numero maggiore di caratteri meno complicati. In teoria la lunghezza dovrebbe aumentare la sicurezza, ma non è detto che basti. Anche in questo caso possiamo facilitare la memorizzazione partendo da una o più basi, che per noi hanno un senso preciso, a cui applichiamo della varianti. Potremo così creare delle password difficili ma non impossibili da ricordare, specie se le useremo spesso.

Password sicure

Se poi accediamo a un sito che comporta la protezione di valori importanti non è possibile transigere sulla sicurezza. Nel caso delle banche per fortuna ci pensano loro ad imporci metodi molto sicuri, ma per il resto dobbiamo pensarci noi. Se poi questi siti li useremo raramente sarà giocoforza appuntarli con molta metodicità

Ultrasicure, ma non per tutti

Ci sono delle persone che per le loro particolari responsabilità devono utilizzare sistemi di accesso “ultrasicuri” con eventuali password dello stesso tipo. Questo caso non riguarda i comuni utenti a cui di rivolge questo blog, ma saperne qualcosa dei metodi utilizzati può servire a tutti par capire come migliorare la propria sicurezza.

Come ricordarle tutte?

Tutti gli esperti consigliano di non comunicarle a nessuno, di non scriverle mentre si è osservati, di non tenerle appuntate nei pressi del computer e di non annotarle in qualche file nel computer stesso. C’è però un modo per tenerle a portata di mano senza comunque svelarle per intero. Se per esempio usiamo un password facile potremo fare un elenco di siti a cui accediamo con quella e a fianco in vece di scrivere la password scriveremo “facile”. Se useremo una password più difficile con delle varianti su una base unica potremo scrivere “difficile” e annotare la parte variabile. Se la password viene usata molto saltuariamente e il sito impone il cambiamento periodico, conviene indicare quando è stata creata e magari quando è stata usata l’ultima volta con successo. Le password sicure e impossibili da ricordare, non c’è niente da fare, occorre scriversele da qualche parte. Anche in questo caso aggiungere la data i di creazione e quella dell’ultimo utilizzo. Se si basano su una parte che possiamo ricordare possiamo anche rischiare di scriverla in modo parzialmente criptato come nel caso precedente. Se si decidesse di scrivere tutto nel computer stesso, un programma ideale per gestire tutte le password è un foglio di calcolo come Calc o Excel. Evitare però di tenere il file nella cartella documenti e dargli un nome fuorviante.

La metafora delle chiavi

Possiamo pensare alle password come a delle chiavi. Non tutte sono decisive ai fini della sicurezza. Potremo usare sitemi simili per proteggere chiavi e password a secondo della loro importanza.

• per le porte interne di un appartamento usiamo serrature facilmente apribili, anche con un passpartout e lasciamo le chiavi nella toppa.
• per le porte esterne generiche usiamo serrature tipo yale. Le chiavi le lasciamo appese in casa in vista  ma non nella toppa
• per la porta di casa blindata o per la cassaforte avremo una buona serratura e le chiavi le custodiremo con cura. In caso di smarrimento faremo cambiare serratura e chiavi.
• per una porta di massima sicurezza, come quella di un caveau, si usano serrature e chiavi speciali, duplicabili solo dai fornitori autorizzati, peraltro costosissime

Quando la dimentichiamo

La maggior parte dei sistemi è in grado di inviarci una nuova password provvisoria. I metodi utilizzati per accertarsi che siamo noi sono tre, variamente combinati:

• una mail di riserva,
• il numero del nostro cellulare,
• una domanda segreta, scelta da noi, di cui solo noi conosciamo la risposta.

Ogni tanto è bene accertarci che queste vie di comunicazione con noi siano ancora attivabili.

Quando il PC la ricorda

Se usiamo il nostro computer in un luogo sicuro, memorizzare le password è una gran comodità. Di solito la cosa funziona a scadenza. Evitiamo di farlo per gli account più riservati.

Dove non fidarsi

In un luogo aperto al pubblico dove non si sa chi sia l’amministratore del computer. Se si è costretti a farlo, appena possibile cambiarla.

Quando la dobbiamo usare in un PC pubblico e insicuro

Durante l’accesso dobbiamo evitare accuratamente che il computer memorizzi la nostra password. A volte questa funzione già predisposta. Prima di fare il login accertiamoci che non lo sia. Quando finiamo facciamo il logout. Alcuni browser memorizzano comunque tutte le password inserite. Controllare che la cosa non sia consentita non è facile. In un computer a disposizione del pubblico questa funzione non dovrebbe essere attivata.

Quando è il sistema che non si fida di noi

Succede a volte che il login non va a buon fine perché il sistema per qualche strano motivo teme che sia in atto un tentativo di forzatura. Succede se magari abbiamo provato più volta a inserire una password sbagliata. Oppure se tentiamo lo stesso accesso da computer diversi (specie se con diverso IP pubblico). In alcuni casi l’accesso viene bloccato per qualche tempo. In altri casi ci vengono richiesti dati, come una nostra mail o il numero del cellulare che permettono dei controlli. Spesso è una nostra scelta accettare questi controlli che sarebbero fatti nel nostro interesse. A volte possiamo evitarli semplicemente inserendo la password corretta.

Se temiamo di averla resa accessibile ad estranei

Se dopo aver usato una password in un computer non sicuro, temiamo che qualcuno possa appropriarsene, la cosa migliore è cambiarla al più presto. Alcuni sistemi una volta cambiata la password non permettono di riutilizzarne una già usata precedentemente.

Come e quando cambiarla

Tutti gli account permettono di cambiare la propria password. In alcuni ambienti di lavoro è obbligatorio fare questo cambio a intervalli periodici (da 60 gg a 6 mesi). Anche alcuni siti chiedono di farlo e per questo fanno scadere la password, che pertanto va rinnovata obbligatoriamente, dopo un certo periodo. Per fortuna alcuni siti facilitano questa operazione. In genere, una volta effettuato il login, nella pagina di accesso troviamo il simbolo delle impostazioni. Lì sicuramente troveremo il modo di cambiare la password. Prima dovremo scrivere quella in uso e poi per due volte quella nuova. Evitare di fare il copia e incolla, altrimenti vanificheremo una dispositivo anti errori di digitazione.

Esempi di password con diversi gradi di sicurezza

Seguono alcune password d’esempio testate con EOS, Ms (Microsoft) e Hs (How Secure…).   Vedi link di seguito. Si tratta di prove abbastanza istruttive che vale la pena fare.

Programma originale di Jeff Todnem. Versione modificata, ampliata e tradotta da EOS.   1- password da testare, 2- in chiaro, 3- valutazione. 4- punti positivi. 5- punti negativi

Insicure

• Volutamente non sicura, di 7 caratteri (tutte lettere minuscole, parola di senso compiuto): casetta, grado di sicurezza 5%, per Ms Weak (debole), per Hs 2 sec il tempo per necessario forzarla
• Per Ms basta aggiungere un numero e diventa di sicurezza Medium

Facili

• Facile da ricordare 8 car (Maius+ minusc+ num) 18liocAr g.d.s. 62% , per Ms Medium, per Hs ci vogliono 15 ore per forzarla
• Idem Ale05man 63%, per Ms Medium
• Password meno facile da ricordare 8 car (Maius+ minusc+ num+ cartip) 18li:cAr g.d.s. 86%; Altri esempi: Al”05man g.d.s. 77% ; Al”05mAn g.d.s. 81%; Al”05_Mn g.d.s. 84%. Notare cha alcune pur avendo un carattere in meno delle seguenti riescono ad essere migliori o pari.
  

Di media sicurezza

• Meno facile da ricordare, 9 car (Maius+ minusc+ num+ cartip) 18lio:cAr g.d.s. 82% Idem 9 car (Maius+ minusc+ num+ cartip) 18Li0:cAr g.d.s. 94%; Al”05_mAn g.d.s. 89%, per Ms Medium

Sicure

• Difficile da ricordare, 10 car (Maius+ minusc+ num+ cartip) 18_Li0:cAr g.d.s. 100%, Per Ms solo Medium. Per Hs ci voglio 526 anni per scoprirla. Per Mircrosift diventa best (migliore) aggiungendo altri 4 caratteri: 18_Li0:cAr_non

Consigli dal web

• Polizia postale (molto interessante): https://www.commissariatodips.it/area-riservata/scelta-password.html
• Hardware upgrade (molto interessante): http://www.tomshw.it/cont/news/10-consigli-per-una-password-sicura/44627/1.html
• Technet di Microdoft (come avvengono gli attacchi e come creare password ultrasicure): https://technet.microsoft.com/it-it/library/cc645543.aspx
• Microsoft: http://www.microsoft.com/it-it/security/online-privacy/passwords-create.aspx
• Google (interessante): https://www.google.it/intl/it/goodtoknow/online-safety/passwords/
• Yahoo (brevi pochi ma interessanti, anche quelle da non usare): https://it.notizie.yahoo.com/10-password-da-evitare-criteri-sicurezza-145353272.html
• PC self (interessante): http://www.pcself.com/sicurezza/password/index.html
• Quando vogliamo che il sistema chieda una doppia verifica: https://support.google.com/accounts/answer/32040?hl=it

Creare automaticamente una password

Attenzione, le risposte non sono da utilizzare! Sono utili per avere qualche idea.

• Sistema simpatico, da provare: http://passwordbird.com/
• https://identitysafe.norton.com/it/password-generator#
• https://password.es/it/

Controllare la sicurezza di una password

Ovviamente la prova va fatta su una password simile alla vostra.

• EOS (ottimo con abbondanti spiegazioni) http://www.eosdev.it/Approfondimenti/Sicurezza/PwdMeter/
• PasswordMeter (idem che sopra ma in inglese): http://www.passwordmeter.com/
• Microsoft (semplice finestrella e voto) : https://www.microsoft.com/it-it/security/pc-security/password-checker.aspx
• How Secure Is My Password? (semplice finestrella e voto): https://howsecureismypassword.net/