Come gestire le password senza impazzire

Provate a pensare a tutte le password, codici di accesso, PIN che dovete ricordare: una o più caselle di posta elettronica, Skype, Facebook e gli altri social network, l’homebanking, il pannello di amministrazione del vostro sito, l’area riservata dell’associazione di categoria, i siti di e-commerce che vi richiedono una registrazione, una decina di servizi online a cui vi siete iscritti…

Come fate a ricordare tutte queste password? Siete sicuri di essere al sicuro?

Vediamo innanzitutto cosa NON dovreste fare, e perché.

1. Scrivere tutte le password su un post-it attaccato al video in un file PASSWORD.TXT salvato sul vostro computer
Diamo pure per scontato che sul vostro video non ci sia uno dei post-it che vedo ogni tanto attaccati in qualche ufficio; tuttavia, tutti i miei conoscenti che si occupano di assistenza hardware mi raccontano di trovare, in molti dei pc su cui fanno assistenza, un bel documento di testo con tutte le “identità digitali” del proprietario. Questo comportamento vi espone ad ogni tipo di rischi: il vostro computer potrebbe essere rubato, e con esso tutti i vostri dati; un tecnico dotato di scarsa etica professionale (o un collega che si trovi ad usare temporaneamente la vostra stazione di lavoro) potrebbe trovare il file, e decidere di copiarselo; l’improvvisa rottura del vostro disco rigido vi lascerebbe a piedi (non raccontatemi che avete un backup criptato del file password.txt, perché non ci credo). Insomma, basta poco per mettervi in un mare di guai.

2. Usare dappertutto la stessa password
Avete trovato una password perfetta, difficilmente intuibile (cioè diversa dal vostro cognome o dal nome di vostro figlio), e la usate per ogni servizio, così siete sicuri di non sbagliare. E invece state sbagliando. Capiterà di doversi collegare alla rete da un Internet point malgestito, o dal computer di qualcuno che non usa antivirus aggiornati, ed è quindi infestato di “sniffer” che spiano i dati di passaggio alla ricerca di qualche informazione interessante. E la vostra password universale è un’informazione molto interessante, perché, una volta in cattive mani, sarà un gioco da ragazzi provarla a ripetizione su una gran quantità di servizi online, riuscendo ad entrare al posto vostro: un furto di identità in piena regola. Usare la stessa password per tutti i servizi è sicuro tanto quanto mettere la stessa serratura alla porta di casa, del garage, dell’ufficio e dell’appartamento al mare, e lasciare attaccato al portachiavi il proprio biglietto da visita!

3. Salvare le password su Firefox
Usate Firefox, e fate bene perché è un ottimo browser, ma avete preso l’abitudine di memorizzare username e password sul browser per non doverli ridigitare ogni volta. Beh, questo praticamente equivale a lasciare sul vostro computer un comodo file PASSWORD.TXT, ancora più semplice da usare per qualcuno che abbia accesso, anche solo per poco, alla vostra macchina. Infatti, Firefox ha la pessima abitudine di salvare le password “in chiaro”, cioè in un formato leggibile a tutti: basta andare sul menu “Preferenze”, scegliere la voce “Sicurezza”, e cliccare sul bottone “Password salvate”: ed ecco l’elenco di tutti i siti di cui avete memorizzato le credenziali di accesso. Basterà selezionare l’opzione “mostra password”, per leggersi tutto. L’unico modo per evitare di far mostrare le password è quello di criptarle impostando una “Master Password”, che però vi verrà chiesta ogni volta che si apre il browser: non proprio il massimo della comodità.

Che fare allora? Ecco un sistema per usare password sempre diverse, ma facilmente memorizzabili, e alcuni strumenti che vi permetteranno di conservare i vostri dati al riparo da occhi indiscreti, ma al tempo stesso a portata di mano, in qualunque momento, solo per voi.

A. Costruite le vostre password seguendo una regola
Invece di usare la stessa password per tutti i servizi, costruite una regola da applicare per generare password sempre diverse. Ad esempio, se le vostre password sono composte da un prefisso sempre uguale (ma non banale), più un certo numero di caratteri che dipendono dal nome del servizio che state usando, magari modificato in qualche modo, non avrete problemi a ricostruirle in ogni momento. Banalizzando, se tutte le vostre password sono costruite unendo “abc123” alle prime tre lettere del nome del sito, la password per Amazon.com sarà “abc123ama”, quella per Skype “abc123sky”, e così via. Potete complicare un po’ la regola, in modo che non sia così direttamente intuibile, ma dopo pochi giorni sarete in grado di usare tutte le vostre password senza un momento di esitazione.

B. Usate un “portachiavi criptato”
Ci sono molti sistemi che permettono di memorizzare in forma criptata tutti i propri account: alcuni sono servizi online (io uso Clipperz e mi trovo benissimo, ma ce ne sono altri come Passpack), altri sono software da scaricare sul proprio computer (il più famoso è senz’altro KeePass). Si tratta di software che usano algoritmi per criptare i dati memorizzati, fornendo allo stesso tempo un’interfaccia comoda per registrare le varie credenziali di accesso, e usarle velocemente (spesso con un click su un pulsante “collegamento diretto”). In questo modo, impostando una sola chiave di sicurezza (che sarà una frase abbastanza lunga e complessa da risultare difficile da scoprire), si entra nel proprio “portachiavi criptato”, e ci si può concedere il lusso di usare password veramente difficili (ad esempio quelle create dal generatore automatico di password fornito dal sistema stesso).
Sia Clipperz che Passpack funzionano online su collegamento sicuro https, e tutto il processo di codifica e decodifica delle credenziali attraverso gli algoritmi di cifratura avviene nella memoria temporanea del browser, quindi al server vengono inviati dati già criptati (cioè: i gestori del servizio non possono avere la più pallida idea di quali dati avete memorizzato). Entrambi i sistemi offrono la possibilità di scaricare una copia in sola lettura del proprio archivio di password, da usare quando si è offline o da portare con sè su una chiavetta USB; naturalmente, anche la copia locale richiederà la chiave di cifratura personale. E’ anche possibile generarsi chiavi di cifratura “usa e getta”, utilissime quando si debba usare il sistema su computer di estranei: la chiave “usa e getta”, anche se intercettata, non sarà più utilizzabile da nessuno.
Clipperz è gratuito (ma vi suggerisco, se lo usate, di fare una donazione agli sviluppatori, che se la meritano davvero); Passpack ha una fascia di utilizzo gratuita, e dei profili a pagamento che offrono maggiori opzioni in termini di numero di password, condivisione temporanea degli account, e così via. L’interfaccia di Clipperz è localizzata anche in italiano, mentre Passpack è disponibile solo in inglese.

Memorizzare tutte le proprie password all’interno di un “portachiavi critptato” richiede un minimo impegno, paragonabile a quello di fare un cambio di stagione nel guardaroba, ma è ampiamente ripagato in termini di sicurezza e serenità: trovate quindi un pomeriggio da dedicare a questo lavoro, e sarà tempo ben speso.

Vuoi ricevere i miei nuovi post direttamente nella tua casella di posta?
Iscriviti alla newsletter







ti sto iscrivendo alla newsletter...

11 commenti a “Come gestire le password senza impazzire”

  1. alessandrobondi ha detto:

    Concordo alla grande sul punto A, la soluzione migliore.

    Solo una piccola considerazione: mantenendo le password su un sistema come Clipperz, non si corre lo stesso rischio di usare dappertutto la stessa password (lo sniffer o un keylogger potrebbe intercettare la chiave di accesso a Clipperz stesso).

  2. alebegoli ha detto:

    Alessandro, la chiave che si usa per criptare resta “locale”, e non viene inviata al server, che riceve solo i dati già cifrati; questo aumenta la sicurezza del sistema. Una politica di buona gestione della propria stazione di lavoro abituale (antivirus, etc) è comunque necessaria, e, per le situazioni di potenziale rischio, ci sono le chiavi “usa e getta”. In ogni caso, ho girato il tuo commento agli sviluppatori di Clipperz :-)

  3. Marco Barulli ha detto:

    Ciao Alessandro,
    se hai timore che il computer o la rete che stai usando per accedere a Clipperz non siano sicure (keyloggers, sniffers, …), allora ti consiglio di utilizzare una passphrase “usa e getta” (OTP).

    Questa precauzione combinata con l’uso dei “login diretti” ti consente di accedere ai tuoi servizi online senza mai digitare una password (ne’ quella di Clipperz, ne’ quella dei singoli servizi). Quindi:

    1. Accedi a Clipperz con una passphrase “usa e getta”.
    2. Da Clipperz accedi ai tuoi servizi online con un solo click utilizzando i link dei “login diretti”.

    Cosi’ potrai postare su Facebook o Flickr anche dal piu’ disgraziato internet cafe’ thailandese senza temere che le tue credenziali di accesso cadano in brutte mani! :-)

    Marco
    Clipperz.com

  4. Monica ha detto:

    Alessandra,
    cosa pensi delle applicazioni web che, una volta che hai impostato la tua password, ti inviano una email con “La tua nuova password è: …”?

    Grazie
    Monica

  5. alebegoli ha detto:

    @Monica l’invio della password alla registrazione mi sembra superfluo, anzi un po’ rischioso; non così ovviamente per i sistemi di recupero password via email, che ti impostano una password provvisoria (che io cambio immediatamente).
    Si tratta naturalmente di email da cancellare: io le tenevo solo quando non c’era la password, per ricordarmi con quale username mi ero iscritta, ma adesso copio in Clipperz e cancello il messaggio (e vuoto il cestino ad ogni uscita).

  6. Stefano ha detto:

    Ho Dato un occhiata all’ articolo che condivido specialmente nei post-it (ne vedo tutti i giorni dai miei clienti), vorrei comunque sottolineare una cosa molto importante non citata (non mi sembra almeno)
    Il programma che si usa per criptare deve essere open source (Clipperz lo e’) solo cosi’ si puo avere la garanzia che gli sviluppatori non abbiano commesso qualche errore nello sviluppo (o peggio) Stefano

  7. Matteo ha detto:

    Veramente io non ho parole,
    credo che la gente che attaca i post it con le psw sia per disperazione!
    Usare il “sistema a” la vedo dura anche perché gmail chiede di cambiare password ogni 72 giorni, il sistema in ufficio ogni mese, che fai metti le tre lettere che ti ricordano la tua mail o un determinato sito poi aggiungi la prima lettera del mese? poi per gmail e altri? ti trovi a cambiare metodo in continuazione, pin puk codice di sicurezza della carta che poi ti rimanda a paypal o no se che che te ne chiede un altro… ma questo e’ vivere? password difficili e poi tutte le app che scarico da apple store e devo inserire la password ? no non e’ possibile, la verità e’ che manca un sistema comodo e sicuro dove non si debba ricordare nulla, come qualcosa di biologico che venga convertito in digitale non so ma qualcosa di diverso!

  8. Davide ha detto:

    Grazie per questo esauriente articolo. Sto avendo l’esigenza di usare un programma/app per gestire le mie credenziali e mi hai chiarito molto le idee.
    Anche se questa non è la sede più opportuna per chiederlo, desideravo sapere se vi è qualche programma sicuro che consente di avere le pass a portata di mano anche sul cellulare, evitando però qualsiasi salvataggio delle stesse su cloud poco affidabili.
    Grazie and Keep going . ;)

Non è più possibile commentare questo post

Chiudi e non ti scoccio più NEWSLETTER

Anche qui una popup?
Sì, solo per ricordarti che puoi ricevere i miei post iscrivendoti alla newsletter







ti sto iscrivendo alla newsletter...