Password sicure: sceglierle e conservarle Tiziano Savina Marzo 1, 2022 Digital Blog, Marketing Mix 4 6578 Quello delle password sicure è un problema annoso per tutti, la cui presa in carico è sempre più impellente. Tutti abbiamo più di una password da gestire, diversificarle e memorizzarle ci porta spesso a semplificarle, e molti optano per una sola password uguale per tutti gli accessi. In questo articolo, di certo non il primo che troverete online, ho provato a schematizzare le informazioni più importanti per scegliere le vostre password sicure e conservarle nel modo migliore. Una sorta di vademecum con l’ambizione di essere utile per molti di voi. Indice dei contenuti ToggleIL MONDO DELLE PASSWORDCOMINCIAMO DALL’INIZIO. QUANDO NASCE LA PASSWORD?E CONTINUIAMO CON L’INIZIO. COSA VUOL DIRE PASSWORD?FINIAMO CON L’INIZIO. PERCHÉ UTILIZZIAMO LE PASSWORD?SCEGLIERE UNA PASSWORD SICURACOME DEVE ESSERE COMPOSTA UNA PASSWORD SICURA?GENERATORI AUTOMATICI DI PASSWORD SICURE3 SEMPLICI SISTEMI PER GENERARE LE TUE PASSWORD SICURECONSERVARE LE PASSWORDGESTORI DI PASSWORD1PASSWORDLASTPASSCONCLUSIONICOLLECTION#1ROCKYOU2021I TUOI ACCOUNT SONO AL SICURO? CONTROLLA CON HAVEIBEEPWNED.COM IL MONDO DELLE PASSWORD Negli USA 8 americani su 10, tra coloro che vivono un’unione d’amore, condividono le password con il partner. Dai siti personali e aziendali ai social network, passando per le email e i cellulari. Quello che potrebbe sembrare un gesto romantico, alla fine di un amore può mettere in serio rischio la privacy personale. Diventa quindi importante, oggi più che mai, prevedere anche un ‘divorzio digitale”. Perché cominciare questo articolo da questo particolare punto di vista? Perché il nostro approccio al mondo delle password, passa sempre dalla sottovalutazione di un problema che oggi non c’è, ma domani potrebbe esserci. COMINCIAMO DALL’INIZIO. QUANDO NASCE LA PASSWORD? Nel 1964 ad opera di Fernando Corbatò. L’invenzione nasce dall’esigenza di “regolamentare” l’accesso di più persone ad uno stesso computer. Le password erano, quindi, un modo per consentire la gestione di un profilo personale, in cui ciascun utente poteva conservare “privatamente” i suoi dati. E CONTINUIAMO CON L’INIZIO. COSA VUOL DIRE PASSWORD? Parola o sigla di riconoscimento fornita da un utente ad una macchina per poter accedere a un sistema operativo, un programma, un file, etc etc. Infatti come dice la parola stessa pass-word significa: parola d’ordine o meglio, parola che ti da il permesso di… FINIAMO CON L’INIZIO. PERCHÉ UTILIZZIAMO LE PASSWORD? Le password sono solitamente associate a uno specifico nome utente al fine di ottenere un’identificazione univoca da parte del sistema a cui si chiede l’accesso. Il motivo trasversale è quello di tenere al sicuro dalle nostre informazioni e i nostri averi. Tra le peggiori conseguenze c’è il furto di identità digitale e i motivi che inducono alcune persone a fingersi qualcun altro sono più di uno. Si può usare un’identità rubata per postare contenuti offensivi sui social, usare i nostri dati per rubarci i soldi dal conto corrente oppure per chiedere soldi in prestito ad amici e parenti. SCEGLIERE UNA PASSWORD SICURA Chiarita l’importanza delle password, per molti di noi ormai intuita, il problema si fa serio passando dalla teoria alla prassi. Per capire la portata dello iato tra sapere e fare nel novembre scorso è stata pubblicata una classifica delle password più usate al mondo, frutto di un’analisi fatta in 50 paesi. Sul podio troviamo: 123456 – 123456789 – 12345, al quarto posto troviamo “qwerty” e al quinto posto c’è l’immancabile “password”. COME DEVE ESSERE COMPOSTA UNA PASSWORD SICURA? Una password sicura dovrebbe avere 4 caratteristiche di base. Deve essere lunga (superiore a 10 caratteri). Più una password è lunga più è difficile da indovinare anche per un sistema elettronico. Essere composta da lettere, numeri e simboli. La diversificazione dei caratteri aumenta il numero di variabili da decodificare in caso di intrusione. Deve variare per ogni account che ne richiede una. Il motivo è facilmente intuibile, se riescono a “rubarvi” la password di un account, hanno accesso a tutti i vostri account. Non deve essere facile da indovinare. Bando quindi a nomi di famiglia, date di nascita, nomignoli dei vostri animali preferiti e non pensate di scriverli al contrario, perché questo tipo di pattern non è una genialata. GENERATORI AUTOMATICI DI PASSWORD SICURE Se dopo aver letto il paragrafo precedente avete capito che la cosa migliore è quella di mischiare a caso lettere, numero e simboli, allora siete pronti ad entrare nel mondo dei generatori automatici. Si tratta di applicazioni che generano password casuali seguendo un codice algoritmico che vi regalerà password efficaci con cui difendere i vostri dati. Ecco alcuni link che generano password sicure, da salvare tra i preferiti, senza dover scaricare programmi: RoboForm Generate Password Dashlane Digitale.co NordPass 3 SEMPLICI SISTEMI PER GENERARE LE TUE PASSWORD SICURE Cominciamo con il dire che la cifratura dei messaggi non fa parte della storia recente, infatti il primo codice cifrato conosciuto è un’iscrizione del 1900 a.C, incisa su una pietra da uno scriba egiziano in onore del suo faraone. Quasi 4000 anni fa. Vediamo invece cosa possiamo usare oggi come sistema di cifratura: Metodo LEET. Forma codificata di origine inglese, caratterizzata dall’uso di caratteri non alfabetici al posto delle normali lettere, scelte per somiglianza del tratto oppure per similitudine fonetica. Si usa sostituendo per esempio la E con il numero 3, la A con il 4 o con @, la I con il numero 1 oppure con il carattere speciale “!”, la G con il 6, la S con il 5. Questo sistema ci permette di trasformare semplici parole in codici cifrati: GIGLIOROSA diventerà quindi 6!6L1ORO5@. Oppure Now is the time che diventa |\|0W 15 7|-|3 71|V|3. Il resto lo farà la vostra fantasia. Metodo FASTWORD. Inventato da Markus Jakobsson, ricercatore, imprenditore e scrittore di sicurezza informatica, con la convinzione di poter risolvere in modo semplice il problema delle password sicure. L’idea alla base è quella di creare un set di 3/5 semplici parole, facili da ricordare, come “1PizzaConGliAmici!” o “2GattiAdorabili?” Metodo “tuo”. Se siete appassionati di crittografie non vi rimane che inventare un sistema tutto vostro che mantenga le 4 semplici regole per avere password sicure. Per esempio, se non avete una buona memoria o preferite scrivere tutto, potete usare tre semplici strumenti: un libro, un numero e un taccuino. Scegliete un libro nella vostra libreria e un numero qualsiasi da 1 a 10. Ora aprite il libro ad una pagina qualsiasi che segnerete nel taccuino accanto al nome del file, software, app o account di cui volete estrapolare la password. Se avete scelto il numero 3, inserite la terza lettera di ogni riga per le prime dieci righe, avendo l’accortezza di definire quali vanno maiuscole (per esempio la prima e l’ultima) e inserendo alla fine il numero della pagina e un carattere speciale. Esempio da un mio libro: Facebook: RspirodrpC35! Ho preso la terza lettera, delle prime 10 righe nella pagina 35 del libro scelto. Poi ho messo la prima e l’ultima in maiuscolo, ho aggiunto il numero della pagina e il carattere speciale “!” (punto esclamativo). Sul taccuino ho scritto 35 e basta. Ora tocca a voi… CONSERVARE LE PASSWORD Ci sono diversi metodi per conservare le password. Alcuni utilizzano la memoria, utilizzando sempre le stessa password, ma abbiamo visto che non è un metodo sicuro. Altri le salvano nel computer, ma un ladro potrebbe accedervi facilmente accendendo il computer. I più tradizionalisti hanno un piccolo taccuino dove le annotano tutte, con il rischio di perderlo o che venga trafugato. Tra i sistemi migliori c’è l’utilizzo di applicazioni create appositamente per tenere al sicuro le tue parole chiave: i gestori di password. GESTORI DI PASSWORD Si tratta di prodotti online che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web (e non solo) in una sorta di cassaforte (“Vault”) virtuale. Non tutti godono di buona reputazione, sia per la sicurezza che per la facilità d’uso, ma un recente articolo ne ha esaminati e testati 25, estraendo l’elenco definitivo dei 9 migliori gestori di password. In questo articolo faremo il focus su 2 di questi: 1password e LastPass. 1PASSWORD Crittografia end-to-end, intefaccia a prova di principiante ed esclusiva tecnologia WebCrypto per garantire la riservatezza delle tue password. 1Password è il gestore di password sicure sviluppato da AgileBits Inc. che fornisce agli utenti un luogo in cui archiviare varie password, licenze software e altre informazioni sensibili in un deposito virtuale bloccato con una password principale protetta da PBKDF2. LASTPASS Robusta crittografia e interfaccia user-friendly che include un generatore di nomeutente e password, oltre all’archiviazione di dati relativi a carte di credito e assicurazioni. LastPass è un programma freeware per la gestione delle password web, sviluppato da LogMeIn. Disponibile come estensione dei vari browser , essa può anche occuparsi di riempire automaticamente I form di login. CONCLUSIONI Voglio dedicare le conclusioni di questo articolo raccontandovi i 2 più clamorosi furti di password: Collection1 e RockYou2021. Infine voglio regalarvi uno strumento che vi aiuterà a scoprire se gli account che usano la vostra email come nomeutente sono stati violati: haveibeenpwned.com. COLLECTION#1 Si chiama Collection#1 il Data Breach da 773 milioni di mail e 22 milioni di password rubate, apparsa su tutti i media il 18 gennaio 2019 e descritta con accenti allarmistici. La scoperta è stata fatta dal famoso esperto australiano Troy Hunt che ne ha dato notizia nell’articolo “The 773 Million Record “Collection #1″ Data Breach” pubblicato sul suo blog il 17 gennaio. In realtà, la notizia era stata divulgata già il giorno prima attraverso la newsletter di Troy Hunt, ricercatore nel campo della sicurezza. ROCKYOU2021 RockYou2021 è una raccolta di oltre 8.4 miliardi di password, 100 GB di file in formato .TXT che, probabilmente, raccoglie in una sola collezione le password rubate da più data leak e data breach precedenti. La raccolta è stata messa online su un popolare forum di hacking e il nome della raccolta è stato scelto da un utente del forum stesso. Gli esperti ipotizzano che potrebbe essere un omaggio a “RockYou”, una storica violazione avvenuta nel 2009 quando alcuni sconosciuti attaccanti riuscirono a “scivolare” dentro i server di un notissimo social network sottraendo oltre 32 milioni di password memorizzate per errore in forma di testo in chiaro. I TUOI ACCOUNT SONO AL SICURO? CONTROLLA CON HAVEIBEEPWNED.COM Have I Been Pwned? (HIBP) è un sito web, creato dall’esperto di sicurezza Troy Hunt nel 2013, che consente agli utenti di Internet di verificare se i propri dati personali sono stati compromessi da violazioni dei dati. Il servizio raccoglie e analizza centinaia di dump e pastebin di database contenenti informazioni su miliardi di account violati e consente agli utenti di cercare le proprie informazioni inserendo il proprio nome utente o indirizzo e-mail. Gli utenti possono anche registrarsi per ricevere una notifica se il loro indirizzo e-mail appare nei dump futuri. Il sito è stato ampiamente pubblicizzato come una risorsa preziosa per gli utenti di Internet che desiderano proteggere la propria sicurezza e privacy. – Stephen Strange: Questo cos’è? Il mio mantra? – Karl Mordo: E’ la password del Wi-Fi. Non siamo selvaggi. [leggendo il biglietto di Mordo che reca la scritta ‘shamballa’] BENEDICT CUMBERBATCH – Dr. Stephen Strange CHIWETEL EJIOFOR – Mordo 4 Risposte Marianna Marzo 8, 2022 Grazie Tiziano! Grazie al tuo suggerimento ho scoperto che il account libero è stato violato! Rispondi tiziano savina Marzo 10, 2022 Sono molto felice di esserti stato d’aiuto. Grazie per il tuo commento! Rispondi Daniela Marzo 8, 2022 Complimenti Tiziano Bravo… lessico e contenuti ottimi Rispondi tiziano savina Marzo 10, 2022 Grazie per i complimenti che sono un ottimo stimolo per proseguire questa esperienza! e non sarà l’ultima! Rispondi Scrivi Cancella commentoLa tua email non sarà pubblicataCommentaNome* Email* Sito
Marianna Marzo 8, 2022 Grazie Tiziano! Grazie al tuo suggerimento ho scoperto che il account libero è stato violato! Rispondi
tiziano savina Marzo 10, 2022 Sono molto felice di esserti stato d’aiuto. Grazie per il tuo commento! Rispondi
tiziano savina Marzo 10, 2022 Grazie per i complimenti che sono un ottimo stimolo per proseguire questa esperienza! e non sarà l’ultima! Rispondi