La password è il primo elemento di difesa contro il cybercrimine, ma bisogna saperne creare di affidabili. Ecco alcuni consigli per aumentare la propria sicurezza online senza farsi venire il mal di testa.
La password è la prima, e a volte unica, barriera tra noi e i criminali informatici. Impedisce ad altri di entrare nel nostro account Facebook, nella posta di Google e in tantissimi altri. È quindi un’informazione importantissima, che va gestita con la massima cura. La prima regola da seguire è usare una password sicura. Che cosa significa “password sicura”? Il punto cruciale è che esistono trucchi per entrare in un sistema informatico anche senza avere la password. È un po’ come usare un piede di porco (e infatti si chiamano attacchi brute force, consistono nel tentare tutte le combinazioni possibili fino a che si trova quella corretta), e la “forza” della password equivale alla resistenza della porta. Vediamo quindi come dev’essere una password il più sicura possibile.
Una password resistente è prima di tutto una password complessa. Via le parole prese dai dizionari, via le date di nascita, i nomi di figli o dei cani. Inoltre, ci devono essere elementi variegati, vale a dire non solo lettere, né solo lettere e numeri. Ci vogliono questi ultimi, le lettere maiuscole e anche i simboli speciali (“,£, &, % eccetera). Non ultimo, è consigliabile che la lettera maiuscola non sia né la prima né l’ultima.
La password deve essere lunga. Più è lunga una password, più difficile sarà scoprirla senza un’operazione di spionaggio (per esempio, tramite il cosiddetto phising). Quindi meglio rinunciare a pippo, in favore magari di Pippo&Pluto%Paperino63957.
Evitare dati ottenibili per associazione. Abbiamo citato il nome dei figli o del cane, che essendo parole comuni sono più facili da individuare con un attacco brute force, anche perché tra gli strumenti dei criminali ci sono vocabolari sterminati. Parole come queste vanno evitate anche per un altro motivo: è più facile trovare la vostra password se contiene un’informazione riconducibile al vostro profilo personale. In altre parole, se siete tifosi della Juventus, non mettetela nella password. Se vostra figlia si chiama Laura, non usate questo nome. E così via.
Ancora più importante, non ripetere mai la stessa password su servizi diversi. Una per la mail, una per Google (sempre che non usiate Gmail naturalmente), una per Facebook, una per Twitter, una per la banca e così via. Questo è molto importante perché spesso le password vengono rubate, senza che noi ci possiamo fare niente. Se ilsitobirichino.it subisce un furto, dunque, rischierete che qualcuno entri nel vostro account su quel sito. Ma il ladro proverà la password anche su migliaia di altri siti; il danno derivante può essere notevole, se la password rubata vale anche per entrare nella vostra posta elettronica.
Per i servizi più critici (i social, Google, la banca) è inoltre caldamente consigliabile attivare sempre l’autenticazione in due fattori. A tal proposito, usare il messaggio SMS è una soluzione oggi considerata non abbastanza sicura, è preferibile confermare l’accesso con lo smartphone (ove possibile) oppure usare un’applicazione specifica come Google Authenticator.
Davanti alla prospettiva di creare e usare continuamente password complesse e sempre diverse vi sarete scoraggiati. Siamo coscienti che sia problematico, e che ricordarle tutte potrebbe essere una sgradevole fonte di stress. Calma, ci sono più soluzioni. Una è escogitare un metodo personale, uno schema mentale che conoscete solo voi. Per esempio, potete scegliere una serie di parole preferite, e aggiungere a ognuna di esse un codice numerico: potrebbe essere un mix di squadre sportive e anni di nascita dei genitori, così avremmo ad esempio Atalanta, 1952 e 1954. Potreste variare i dati di base a piacere, più volte durante l’anno. Lo schema combinatorio poi potrebbe essere 1952&ataLanta%1954, fissando la posizione della maiuscola e dei simboli speciali. Un veloce controllo su un sito specializzato ci dice che scardinare questa password richiederebbe 7mila miliardi di anni, eppure sarebbe abbastanza facile ricordarsela oppure ricostruirla se la si dimentica, applicando di nuovo il vostro metodo personale.
Ognuno può escogitare il metodo che preferisce, l’importante è non scrivere mai le password in un file di testo tipo Word, né tantomeno su un post-it attaccato sotto la tastiera o altrove. Volendo si potrebbe usare un file di testo protetto a sua volta da una password, ma a questo punto tanto vale usare un vero password manager.
Anche usando un metodo come quello descritto sopra, ricordare tante password tutte diverse sarà difficile. Tra qualche anno forse non sarà più necessario, ma per ora possono ancora risultare utili i password manager. Si tratta di applicazioni (per computer e smartphone) che ricordano le password al posto vostro. Voi dovrete solo memorizzarle lì dentro, e ricordare la password principale per aprire il database (una sola). Poi potrete cercare la password che vi serve, copiarla e incollarla dove preferite.
La maggior parte di questi programmi è anche in grado di compilare automaticamente i campi utente e password – il che è utile ad arginare la minaccia dei malware noti come keylogger, che spiano ciò che scriviamo con la tastiera. I password manager inoltre hanno anche una funzione specifica per creare password complesse, così vi potrete risparmiare anche questo lavoro; oppure si può usare un servizio online come Secure Password Generator.
Tra i password manager più famosi si annoverano OnePassword, LastPass o Dashlane, ma ce ne sono moltissimi tra cui scegliere (una ricerca su Google è utile per trovarli). Inoltre, anche i produttori di antivirus forniscono questo prodotto, a volte in forma gratuita e a volte come parte del software di sicurezza a pagamento. Quindi potreste già avere un password manager sul vostro computer senza saperlo.