Strategie e tecniche


Alessandra Farabegoli Alessandra Farabegoli

Dal volume N° 39

Come gestire le password senza impazzire

RICORDARLE TUTTE NON SI PUÒ:
SIETE SICURI DI ESSERE AL SICURO?


1. Scrivere tutte le password (su un post-it attaccato al video) in un file PASSWORD.TXT salvato sul vostro computer
Diamo pure per scontato che sul vostro video non ci sia uno dei post-it che vedo ogni tanto attaccati in qualche ufficio; tuttavia, tutti i miei conoscenti che si occupano di assistenza hardware mi raccontano di trovare, in molti dei pc su cui fanno assistenza, un bel documento di testo con tutte le “identità digitali” del proprietario. Questo comportamento vi espone a ogni tipo di rischi: il vostro computer potrebbe essere rubato, e con esso tutti i vostri dati; un tecnico dotato di scarsa etica professionale (o un collega che si trovi a usare temporaneamente la vostra stazione di lavoro) potrebbe trovare il file e decidere di copiarselo; l’improvvisa rottura del vostro disco rigido vi lascerebbe a piedi (non raccontatemi che avete un backup criptato del file password.txt, perché non ci credo). Insomma, basta poco per mettervi in un mare di guai.

2. Usare dappertutto la stessa password
Avete trovato una password perfetta, difficilmente intuibile (cioè diversa dal vostro cognome o dal nome di vostro figlio), e la usate per ogni servizio, così siete sicuri di non sbagliare. E invece state sbagliando. Capiterà di doversi collegare alla rete da un Internet point malgestito o dal computer di qualcuno che non usa antivirus aggiornati, ed è quindi infestato di “sniffer” che spiano i dati di passaggio alla ricerca di qualche informazione interessante. E la vostra password universale è un’informazione molto interessante, perché, una volta in cattive mani, sarà un gioco da ragazzi provarla a ripetizione su una gran quantità di servizi online, riuscendo a entrare al posto vostro: un furto di identità in piena regola. Usare la stessa password per tutti i servizi è sicuro tanto quanto mettere la stessa serratura alla porta di casa, del garage, dell’ufficio e dell’appartamento al mare, e lasciare attaccato al portachiavi il proprio biglietto da visita!

3. Salvare le password su Firefox
Usate Firefox, e fate bene perché è un ottimo browser, ma avete preso l’abitudine di memorizzare username e password sul browser per non doverli ridigitare ogni volta. Bè, questo praticamente equivale a lasciare sul vostro computer un comodo file PASSWORD.TXT, ancora più semplice da usare per qualcuno che abbia accesso, anche solo per poco, alla vostra macchina. Infatti, Firefox ha la pessima abitudine di salvare le password “in chiaro”, cioè in un formato leggibile a tutti: basta andare sul menu “Preferenze”, scegliere la voce “Sicurezza” e cliccare sul bottone “Password salvate”, ed ecco l’elenco di tutti i siti di cui avete memorizzato le credenziali di accesso. Basterà selezionare l’opzione “Mostra password” per leggersi tutto. L’unico modo per evitare di far mostrare le password è quello di criptarle impostando una “Master Password”, che però vi verrà chiesta ogni volta che si apre il browser: non proprio il massimo della comodità.

Che fare allora?
Ecco un sistema per usare password sempre diverse, ma facilmente memorizzabili, e alcuni strumenti che vi permetteranno di conservare i vostri dati al riparo da occhi indiscreti, ma al tempo stesso a portata di mano, in qualunque momento, solo per voi.

A.    Costruite le vostre password seguendo una regola
Invece di usare la stessa password per tutti i servizi, costruite una regola da applicare per generare password sempre diverse. Ad esempio, se le vostre password sono composte da un prefisso sempre uguale (ma non banale), più un certo numero di caratteri che dipendono dal nome del servizio che state usando, magari modificato in qualche modo, non avrete problemi a ricostruirle in ogni momento.
Semplificando (vedi regola successiva), se tutte le vostre password sono costruite unendo “abcdefghilmno” alle prime tre lettere del nome del sito, la password per Amazon.com sarà “abcdefghilmnoama”, quella per Skype “abcdefghilmnosky”, e così via.
Dopo pochi giorni sarete in grado di usare tutte le vostre password senza un momento di esitazione.

B.    Usate password lunghe
Più è lunga la password, più è difficile riprodurla o indovinarla o trovarla con sistemi di combinazione automatica. Otto caratteri è il minimo sindacale, cercate di creare la vostra regola in modo che generi password ben più lunghe, e che contengono sia lettere che numeri (e possibilmente anche qualche carattere speciale).

C.    Usate un “portachiavi criptato”
Ci sono molti sistemi che permettono di memorizzare in forma criptata tutti i propri account: alcuni sono servizi online (io uso Clipperz e mi trovo benissimo, ma ce ne sono altri come Passpack), altri sono software da scaricare sul proprio computer (il più famoso è senz’altro KeePass). Si tratta di software che usano algoritmi per criptare i dati memorizzati, fornendo allo stesso tempo un’interfaccia comoda per registrare le varie credenziali di accesso e usarle velocemente (spesso con un click su un pulsante “collegamento diretto”). In questo modo, impostando una sola chiave di sicurezza (che sarà una frase abbastanza lunga e complessa da risultare difficile da scoprire), si entra nel proprio “portachiavi criptato”, e ci si può concedere il lusso di usare password veramente difficili (ad esempio quelle create dal generatore automatico di password fornito dal sistema stesso).

“ROBA TECNICA”
Sia Clipperz che Passpack funzionano online su collegamento sicuro https, e tutto il processo di codifica e decodifica delle credenziali attraverso gli algoritmi di cifratura avviene nella memoria temporanea del browser, quindi al server vengono inviati dati già criptati (cioè: i gestori del servizio non possono avere la più pallida idea di quali dati avete memorizzato). Entrambi i sistemi offrono la possibilità di scaricare una copia in sola lettura del proprio archivio di password, da usare quando si è offline o da portare con sé su una chiavetta USB; naturalmente, anche la copia locale richiederà la chiave di cifratura personale. È anche possibile generarsi chiavi di cifratura “usa e getta”, utilissime quando si debba usare il sistema su computer di estranei: la chiave “usa e getta”, anche se intercettata, non sarà più utilizzabile da nessuno.


Memorizzare tutte le proprie password all’interno di un “portachiavi critptato” richiede un minimo impegno, paragonabile a quello di fare un cambio di stagione nel guardaroba, ma è ampiamente ripagato in termini di sicurezza e serenità: trovate quindi un pomeriggio da dedicare a questo lavoro, e sarà tempo ben speso.