LidiaLAB

Tag: Password

  • Password manager

    Una gestione semplice delle password non può fare a meno dell’uso di un buon password manager. Al giorno d’oggi dobbiamo usarle per numerosi servizi e pensare di ricordarle tutte è… impensabile.

    Cos’è un password manager

    È uno strumento (programma, app, sito web o tutti e tre) che ti permette di salvare utente e password di ogni servizio a cui devi accedere online e recuperarli nella maniere più semplice possibile nel momento in cui ti servono.

    Un buon password manager ti permette di:

    • gestire numerose password
    • creare password robuste
    • auto-compilare i campi con le tue credenziali
    • sincronizzare i dati su diversi dispositivi
    • memorizzare in sicurezza ulteriori dati sensibili
    • condividere informazioni con altre persone in modo sicuro
    • diminuire il rischio digitale che tu, la tua famiglia o la tua azienda correte ogni giorno online

    Il problema del cesto unico e online

    Sì è vero: così metti tutte le password in un unico posto e online, quindi esposte agli attacchi informatici.

    Ma:

    1. puoi escludere le credenziali della banca, dei servizi finanziari o cripto, quelle delle email principali e tutte quelle che ritieni troppo importanti per essere incluse lì e memorizzarle altrove
    2. per tutte quelle che memorizzi e sono comunque importanti (es: Amazon) è consigliatissimo attivare un ulteriore passaggio di autenticazione e dove possibile l’autenticazione tramite passkey
    3. è decisamente preferibile ai post-it…

    Come organizzarsi

    L’indirizzo email

    Come prima azione devi decidere a quale indirizzo email associare l’account che verrà creato presso il servizio di gestione delle password.
    Il mio consiglio è: usa un’email di un servizio affidabile (Google, Microsoft, …), ma non la tua email principale. La mia preferenza va a un alias di un account Microsoft. E NON va usata altrove.

    L’ubicazione del servizio

    Scegli un servizio i cui server risiedono in un paese che rispecchia il più possibile ciò che ti aspetti dalle normative sulla privacy. Nel mio caso ho scelto di aprire un account Bitwarden su server europei. Una via di mezzo.

    Non garantisce nulla, ma è un aspetto la cui scelta non va lasciata al caso.

    Sito web, addon per browser, app per cellulari e software desktop

    Ora accertati di poter accedere oltre che dal sito anche dall’app per cellulari, dalle estensioni per browser e dal software per desktop che il fornitore ti mette a disposizione. Meglio provarli subito e non avere sorprese in seguito.

    Imposta un ulteriore passaggio di autenticazione (2FA, MFA, passkey, …) e ripeti la verifica degli accessi. Cerca i codici per l’accesso di emergenza e stampali! Se viene fornito un foglio con le istruzioni di emergenza per ripristinare l’accesso nel caso ti dimenticassi la password principale, stampalo! Riponi i fogli in un posto sicuro.

    A questo punto ti consiglio di memorizzare un login di un servizio e di provarlo con tutti i sistemi di cui sopra (app, addon, sito).

    Se il servizio che hai scelto ti soddisfa anche da un punto di vista operativo inizia ad inserirvi tutte le tue password.

    Misure extra da mettere in atto

    Considera di aggiungere un altro fattore di autenticazione per sbloccare l’archivio gestito dal password manager, ad esempio tramite app per la generazione di codici TOTP o chiavetta USB di sicurezza.

    Se invece vuoi aggiungere l’autenticazione a due fattori per i servizi a cui accedi (ottima idea), potresti considerare di non usare il tuo password manager principale per questa funzione e nemmeno di usarlo per conservare i codici di emergenza per sbloccare l’accesso in caso di malfunzionamento di questo secondo fattore. Usa piuttosto un password manager diverso da quello in uso oppure un account diverso da quello principale.

    Qualche password manager da suggerire?

    Eccone alcuni:

    • 1Password (solo a pagamento)
    • Bitwarden (open source, completamente gratuita se lo si installa in un proprio server, con alcune funzionalità a pagamento -cifra modesta- se invece si usa la versione gestita da Bitwarden stessa)
    • Dashlane (la versione free ha limiti importanti)
    • Keepass (open source)
    • KeepassXC (open source, offline)
    • NordPass (la versione free ha limiti importanti)
    • Proton Pass (open source)

    Puoi anche valutare l’uso dei password manager dei principali fornitori di antivirus.

    Il mio preferito? Bitwarden. Al secondo posto? 1Password (lo puoi provare gratis per 14 giorni e poi decidere se cancellare l’account oppure aderire all’abbonamento mensile o annuale).

  • Scegliere la password perfetta

    Non è possibile.

    Ma sceglierne una buona sì.

    Partiamo da una premessa che vedrai spesso in questo sito: la sicurezza informatica consiste nel mettere in atto tutte le misure di protezione e le buone pratiche possibili per ridurre il rischio di subire una breccia, di beccarsi un virus, ecc ecc… MA non si è mai al sicuro al 100%.

    E c’è sempre una fattore del tutto imprevedibile da considerare: ciò che sta tra la sedia e la tastiera il fattore umano.

    Ma allora possiamo comunque dormire sonni ragionevolmente tranquilli? Sì.

    Facciamo innanzitutto una valutazione dei rischi.

    Da dove arrivano i pericoli?

    Vediamo quali sono i possibili attacchi che potremmo ricevere.

    Attacco fatto a mano da qualcuno che mira a indovinare la nostra password:

    • esempio: qualcuno prova a inserire come password il nome del nostro cane seguito dai numeri che rappresentano il mese e l’anno in corso

    Attacco automatizzato fatto da programmi che:

    • provano le password più utilizzate
      • esempio: 123456, iloveyou, …
    • provano le password e le combinazioni di pezzi di password più utilizzate
      • esempio: qwerty56, TrottolinoAmoroso90, …
    • provano in sequenza combinazioni casuali di caratteri
      • esempio: aaaaaaaa, aaaaaaab, aaaaaaac e così via…

    Attacco che sfrutta credenziali (credenziale = utenza + password) sottratte dagli archivi di altri servizi online:

    • esempio: un forum sulla pesca sportiva subisce una breccia, ne viene scaricato l’elenco di utenze e password degli utenti registrati, con quel elenco in mano chi attacca tenta di accedere ai vari social usando le stesse email e password

    Attacco che sfrutta credenziali sottratte dai tuoi dispositivi:

    • esempio: tramite un virus riescono ad installare un programma che registra costantemente quello che scrivi (keylogger), dove lo scrivi e se lo copiano

    Attacco che sfruttando un momento di distrazione ti fa scrivere utenza e password in un sito simile a quello originale, ma che non lo è.

    Una password non deve…

    Dai pericoli elencati precedentemente deriva che:

    • la stessa password non deve essere utilizzata per più servizi
    • la tua password non deve essere facile da indovinare
    • la tua password non deve essere tra quelle ovvie, usate da tutti
    • la tua password è tua e tua soltanto, non deve essere condivisa

    Costruzione di una buona password

    Quanti caratteri?

    Una buona password più è lunga e meglio è. Ciò ti costringerà anche a utilizzare un testo che è poco ovvio.

    Ma stabilire una quantità di caratteri non è facile e dipende da molti fattori. Primo su tutti quale tipo di caratteri usi e se stai inserendo caratteri a caso oppure parole di senso compiuto.

    Poiché leggendo questo articolo scoprirai che a mio parere le password migliori sono quelle formate da almeno 4 parole di almeno 5 caratteri ciascuna (vedremo quali) e quelle generate dai programmi che gestiscono le password, secondo me oggi (2023) una password deve avere almeno (come minimo!) 20 caratteri.

    Quali caratteri?

    Tutti i tipi di caratteri che puoi usare.

    Scoprirai che alcuni servizi (siti o app) limitano il numero e il tipo di caratteri che si possono usare (già…). Tu però cerca sempre di usare tutti i tipi di carattere che trovi sulla tastiera:

    • lettere minuscole
    • lettere maiuscole
    • numeri
    • caratteri speciali, come !£$&?…

    Se il servizio ha qualche limitazione ti verrà chiesto di modificare la password scelta, quindi fai attenzione ai messaggi di errore che solitamente compaiono scritti in rosso o in riquadri evidenziati.

    La devo imparare a memoria: meglio cervellotica o facile da ricordare?

    Entrambe 🙂

    Personalmente per le password da imparare a memoria prediligo una combinazione di almeno 4 parole che può costituire una specie di frase abbastanza facile da ricordare. Utilizzo parole provenienti da diverse lingue e infine inserisco qua e là dei caratteri speciali e dei numeri.

    Queste saranno le password più importanti che vanno memorizzate, scritte (vedremo come in un altro articolo), conservate distintamente da tutte le altre e nel posto più sicuro o improbabile di casa vostra (scegliere il posto giusto è un po’ come scegliere una buona password…).

    Extra

    Infine aggiungi sempre elementi a caso.

    Ad esempio se hai deciso di utilizzare un insieme di 4 o 5 parole inserisci sempre almeno un carattere speciale nelle parole (sì, hai letto bene: all’interno delle parole, non tra le parole, che dai era troppo ovvio).

    Oppure una parola di tua invenzione che sai tu e tu soltanto.

    Un esempio?

    Partiamo da qualcosa che conosciamo, poi procediamo per variazioni successive e infine semplifichiamo:

    • Romeo er mejo gatto del colosseo
    • Paletto er mejo pezzo della torre eiffel
    • Paletto er mejo primo pezzo della Torre eiffel
    • Paletto er mejo 1o peZ*Zo de que$sta Teiffel
    • Paletto er mejo 1o peZ*Zo de que$sta Teiffel
    • Palettoer1opeZ*Zod|eiffel

    Nella mia esperienza 3 o 4 password simili se inserite molte volte si possono memorizzare, di più non ho mai provato. E sì, sono lunghe da digitare, ma ne vale la pena.

    Ok, però sono davvero tante le password da inventare, ricordare, annotare…

    Vero.

    Al netto delle password più importanti (email principale, banca, identità digitali, pc, password master) per tutte le altre password suggerisco di utilizzare un password manager, ossia un programma che vi permette di memorizzare le password per ogni servizio in modo sicuro.

    Personalmente quando sono al computer utilizzo un programma che le memorizza solo nel pc per tutte le password importanti (tranne quelle che so a memoria) e poi Bitwarden per sincronizzare le password che mi servono anche nel telefono. In molti casi non mi faccio scrupolo a resettarle tramite email se mi servono quando sono lontana dal mio pc e non riesco a recuperarle nel telefono.

    Misure extra da mettere in atto per ogni servizio a cui accedi

    O almeno per quelli più importanti:

    • prevedi una procedura di recupero delle credenziali di accesso
    • attiva l’autenticazione multi fattore, MFA (ne parleremo in un altro articolo), ma ricordati di conoscere fin da subito la procedura di recupero dell’accesso nel caso l’MFA ti desse problemi (spesso viene fornita la possibilità di copiare o stampare una lista breve di codici di recupero di backup)
    • se il servizio non lo prevede in automatico, ma lo consente, attiva il blocco dopo un certo numero di tentativi errati di inserimento della password
    • fai un backup delle credenziali, se usi un password manager sincronizzato online di solito vanno esportate e trattate in sicurezza, se ne usi uno in locale nel tuo pc di solito basta copiare un file

    In conclusione

    Rileggendo questo articolo ecco le riflessioni più importanti che ti invito a fare: “Quanto sono unici il processo e le parti che hai scelto per creare la tua password? Qualcun altro potrebbe fare lo stesso ragionamento e arrivare a scoprire la tua password? Se dimentico l’utente, la password o il secondo fattore di autenticazione non dovesse più funzionare, so cosa fare?“.

    Fonti.

    Nel corso degli anni ho letto vari articoli di fonti che reputo valide, ecco alcuni esempi recenti:

    Risorse col dono della sintesi

    • https://www.youtube.com/watch?v=pMPhBEoVulQ (questo video è ancora attuale, sintetico e fatto bene, sul suggerimento su LastPass lascerei passare un po’ di tempo: potrà essere nuovamente consigliato quando avrà risolto i suoi recenti problemi, 2023Q1)

    Risorse con alcuni dati importanti, ma che necessitano di ragionamenti supplementari su come scegliere una password: