Come scegliere una password
In vari articoli e guide in Rete (magari proprio quelle che puoi trovare qui, sul mio sito) ti è capitato piuttosto spesso di leggere che per proteggere i tuoi account registrati sui vari servizi online o i dati memorizzati sul tuo computer o sul tuo smartphone hai bisogno di password sicure. Ecco, dunque, che hai iniziato a interrogarti su quali caratteristiche debba avere una “password sicura” e se, magari, esistono delle applicazioni per generare password “a prova di attacco”.
La risposta a questa tua ultima domanda è affermativa e, se vorrai proseguire con la lettura delle prossime righe, in questo tutorial ti spiegherò come raggiungere questo obiettivo. Dopo averti esposto una serie di raccomandazioni e suggerimenti su come scegliere una password, ti proporrò anche alcune soluzioni che reputo adeguate per creare chiavi di accesso inviolabili (entro i limiti del possibile) e testarne la sicurezza.
Come dici? La cosa ti interessa parecchio e vorresti sapere tutto al riguardo per mettere al sicuro, una volta per tutte, i tuoi account e i tuoi dati personali? Perfetto, allora non devi fare altro che riservarti qualche minuto di tempo per leggere attentamente le mie “dritte” sul tema. Ti assicuro che non te ne pentirai. A questo punto, non mi resta che augurarti una buona lettura e farti un grosso in bocca al lupo per tutto!
Indice
Come scegliere una password sicura
“Forza bruta” (o “Brute force”): questo è il nome, in gergo informatico, di uno dei più diffusi metodi di violazione delle password utilizzato da pirati informatici e software malevoli. Esso si basa sul principio della “ricerca esaustiva”, che si traduce in un algoritmo studiato per risolvere un problema (ossia scoprire una password) tentando tutte le soluzioni possibili di quest’ultimo fino a trovare la soluzione corretta.
Da questa premessa, a rigor di logica, si può evincere una serie di linee guida generali per la scelta di una password sicura: in base a quanto detto finora, quest’ultima deve essere necessariamente complessa, in modo tale da risultare individuabile con il metodo della forza bruta esclusivamente a seguito di un lasso temporale “fuori misura” (mesi o addirittura anni).
Più una password è lunga, dunque, più aumenterà il numero di combinazioni necessarie per “indovinarla” (ciò, quindi, la rende sicura). In questo caso, una password sicura dovrebbe contenere non meno di 15 caratteri (l’ideale, quindi, è andare anche oltre questa cifra, es. 18 o 20 caratteri). Per lo stesso discorso probabilistico, nella password è bene inserire lettere minuscole e maiuscole, compresi caratteri accentati (es. “è”, “à”, “ò”), numeri e caratteri speciali (es. &, %, = e così via).
In generale, ti sconsiglio fortemente di utilizzare parole e frasi di senso compiuto, nomi propri (il tuo in particolare, ma anche quelli di luoghi, opere di fantasia e reali) o nomi di marchi: questo perché vengono utilizzati anche vari tipi di metodi di ricerca basati su database simili a dizionari per tentare di individuare le password.
Visto che alcuni dati personali di un utente sono disponibili in Rete o possono comunque essere carpiti senza troppa difficoltà, ti sconsiglio anche di includere nella password dettagli riconducibili a tue informazioni personali (l’esempio più classico è quello della data di nascita) o quelle relative a persone a te prossime.
Inoltre, è importantissimo non usare la stessa password per più account. Il motivo di questa raccomandazione è piuttosto scontato: se un software malevolo o un malintezionato ottiene la chiave di accesso che stavi già utilizzando in precedenza, tenterà di usare la stessa per accedere anche agli altri servizi che utilizzi.
Ciò detto, dato il principio stesso di ricerca esaustiva alla base del metodo della forza bruta che ti ho esposto sopra, è possibile dedurre che, in linea teorica, potenzialmente nessuna password è realmente inviolabile (inoltre, la potenza di calcolo che rende possibile tale metodo di violazione cresce costantemente).
Cosa fare, dunque, per mettere al riparo dati personali, account e altro ancora? Semplice: cambiare password su base regolare. É buona norma, dunque, modificare la chiave di accesso a servizi e dispositivi dopo un certo lasso temporale (ameno una volta ogni 2-3 mesi) per scongiurare il pericolo di utilizzare password già compromesse.
Diversi browser, come ad esempio Google Chrome, ti notificano la presenza di password potenzialmente non più sicure; se noti questo tipo di avviso mentre navighi in Rete, dunque, provvedi alla modifica delle tue chiavi di accesso. Qualcosa di simile, avviene anche nel caso di diversi social network (es. Facebook); questi ultimi, infatti, ti notificano tentativi di accesso da dispositivi non riconosciuti (ossia dispositivi dai quali non è stato mai effettuato un accesso al proprio account in precedenza).
Se hai bisogno di aiuto a modificare le tue password, dunque, ti consiglio di consultare il mio tutorial su come cambiare password (se in quest’ultimo non dovessi trovare il servizio, l’applicazione o il social network che ti interessa, dai anche uno sguardo a questa sezione del mio sito).
Infine, un altro metodo per tenere al sicuro i propri dati e account è quello di utilizzare, in accoppiata alle “classiche” password, l’autenticazione a due fattori che implica l’inserimento di codici generati in tempo reale (tramite applicazioni o ricevibili via SMS) per effettuare gli accessi. Ti ho parlato in modo approfondito di questo sistema di autenticazione nella mia guida su come attivare 2FA.
Come generare una password sicura
Come ti ho accennato in apertura, diversi programmi e applicazioni (solitamente detti password manager) permettono di generare automaticamente password particolarmente sicure che rispondo a tutti i requisiti visti poc’anzi. Per di più molti di questi stessi programmi e applicazioni ti permettono, al tempo stesso, di tenere al sicuro le password.
In che modo? Semplice: queste ultime vengono salvate e criptate all’interno di essi; insomma, è un po’ come se tu le conservassi in una “cassaforte”; per accedere a esse dovrai ricordare soltanto un’unica chiave di accesso, comodo, vero? Qui di seguito ti consiglio i password manager che reputo più affidabili e validi. A tal proposito, mi raccomando: non ti affidare mai a programmi e siti che non conosci a fondo per generare password e verifica sempre l’attendibilità delle risorse che trovi in Rete o sui vari store virtuali leggendone le recensioni o effettuando un’apposita ricerca su Google.
- KeePass (Multipiattaforma) – si tratta di uno dei password manager più diffusi e apprezzati. Il motivo è presto detto: è gratuito, open source (dunque è possibile ispezionarne in qualsiasi momento il codice) e decisamente affidabile. Oltre a ciò, l’altro punto di forza di KeePass è l’estrema varietà dei sistemi operativi per i quali esso è disponibile (puoi installarlo un po’ su tutte le piattaforme desktop e mobili, tuttavia su sistemi come Android e iOS/iPadOS ne sono disponibili solo delle versioni “alternative” che usano lo stesso formato per la cassaforte in cui contenere i dati). Il programma in questione è in grado di generare password in un attimo (aprendo la scheda Tools e cliccando sulla voce Generate Password) impostandone vari parametri (es. la lunghezza, il tipo di caratteri e di algoritmi per generarle). Permette, inoltre, di creare archivi di password protetti da un’unica chiave di accesso. Tuttavia, le tante opzioni di configurazione manuale degli archivi stessi e il fatto che questi ultimi non vengono salvati automaticamente sui server online (per fare questo è necessario utilizzare servizi cloud esterni al programma stesso) lo rendono un software adatto a chi ha già esperienza con i password manager.
- Bitwarden (Windows/macOS/Linux/Android/iOS/iPadOS) – altro ottimo programma di creazione e gestione password particolarmente apprezzato dagli utenti. Come l’altro software che ti ho consigliato sopra, si tratta di una soluzione open source utilizzabile gratuitamente, nella sua versione base. Permette di archiviare le proprie chiavi di accesso e proteggerle con un’unica password (le password possono essere sincronizzate su server cloud indipendenti o su NAS, e lo strumento può essere utilizzato anche direttamente tramite browser senza download); inoltre, lo stesso programma può essere integrato nei più diffusi browser di navigazione Web tramite estensioni. Tuttavia, alcune funzionalità aggiuntive (es. la possibilità di utilizzo per più di un utente, salvare file esterni nei propri archivi di password e generare password per l’autenticazione a due fattori) sono accessibili sottoscrivendo un abbonamento a partire da 3,33 dollari al mese. Con Bitwarden puoi generare password sicure accedendo alla scheda Visualizza e cliccando poi sulla voce Generatore di password impostandone manualmente i parametri (es. lunghezza, caratteri utilizzati, ecc.).
- 1Password (Windows/macOS/Linux/Android/iOS/iPadOS) – da molti utenti è considerato il miglior password manager in assoluto. Dotato di un’interfaccia molto intuitiva, permette di conservare in modo del tutto sicuro password di account, servizi online e applicazioni Web sincronizzandole in modo automatico su tutti i dispositivi su cui è installato; in più, può essere integrato nei principali browser di navigazione. Il software suddetto, oltre a generare password, offre la possibilità di creare chiavi di accesso per l’autenticazione a due fattori, memorizzare dati personali, licenze di programmi e altri documenti e scoprire le chiavi di accesso vulnerabili e potenzialmente compromesse che utilizzi. Il programma di cui ti parlo è disponibile in versione di prova gratuita per 14 giorni (mediante registrazione account) al termine dei quali, per continuare a utilizzarlo, è necessaria la sottoscrizione di un abbonamento (i vari piani disponibili partono da 2,99 euro al mese). 1Password può generare chiavi di accesso (cliccando sul pulsante +, selezionando l’opzione Password dall’elenco e cliccando sul pulsante circolare nella schermata successiva) personalizzandone vari parametri come la lunghezza e il tipo di caratteri inclusi o anche in qualsiasi momento durante la fase di creazione di un nuovo elemento nella cassaforte (anche da estensione per browser).
- iCloud — ti segnalo anche che la popolare suite di servizi iCloud di Apple (nella quale sono integrati posta elettronica, rubrica contatti, calendario, note e altri servizi ancora) dispone di una cassaforte e di un comodo generatore di password (se utilizzi macOS lo strumento è già integrato nel browser Safari). Per altri dettagli al riguardo ti rimando al mio tutorial su come usare iCloud.
Come dici? Conoscevi già questi programmi e vorresti sapere se ce ne sono altri validi? Certo che sì! Te ne ho consigliati diversi nel mio tutorial sui programmi per password.
Come testare una password
Seguendo i miei suggerimenti, dopo aver capito come scegliere una password, sei riuscito a creare una chiave di accesso che reputi sicura e vorresti sapere se c’è qualche sistema per testarne automaticamente l’effettiva efficacia, in modo da poterla poi utilizzare in futuro senza alcun timore (oppure vuoi semplicemente verificare che le password che hai utilizzato finora non hanno problemi). Stando così le cose, provvedo sùbito a mostrarti due delle risorse Web che reputo più idonee a tali fini. Mi raccomando, anche in questo caso fai attenzione ai siti che usi e non immettere le tue password sul primo sito che capita senza averne prima verificato l’affidabilità.
Kaspersky Password Checker è un intuitivo e semplicissimo strumento messo a punto dalla nota software house sviluppatrice dell’omonimo antivirus , soluzioni per la sicurezza informatica e altri programmi. Per utilizzare questo strumento ti è sufficiente collegarti all’apposita pagina Internet con qualsiasi browser.
Per procedere, digita la password che hai creato nell’unico campo disponibile e il gioco è fatto. Nella pagina successiva il sito ti fornirà un giudizio sulla chiave d’accesso (incluso il tempo necessario a craccarla con il metodo della “forza bruta”) che hai appena inserito e ti dirà se la stessa è presente in un database di password carpite tramite violazione (non di rado, purtroppo, varie piattaforme, applicazioni e servizi, subiscono attacchi che hanno come conseguenza l’ottenimento e l’esposizione dei dati degli account registrati su di essi, chiavi di accesso incluse).
Qualora fosse così, fai molta attenzione! La tua password è compromessa; dovrai immediatamente smettere di utilizzarla e crearne una nuova seguendo le linee guida che ti ho fornito in questo capitolo del tutorial (oppure puoi generarne una con i programmi che ti ho consigliato in precedenza).
L’altra risorsa che ti consiglio di provare è ‘;– have i been pwned?. Si tratta di un database accessibile con qualsiasi browser di navigazione che ti permette di sapere immediatamente se la password che vuoi testare è tra quelle carpite a seguito di attacchi avvenuti in passato. Per utilizzare questo servizio apri l’apposita sezione di ricerca, digita nel campo Password la chiave d’accesso che vuoi testare e, infine, premi sul pulsante Pwned?.
Nella sezione inferiore, il sito ti riferirà se la password è compromessa o meno. Nella prima spiacevole ipotesi, ti verranno elencate le varie piattaforme su cui essa è presente e che sono state vittima di attacco da parte di criminali informatici. In questo caso vale lo stesso consiglio che ti ho fornito poco fa: non utilizzare più la password che hai controllato con questo sistema e creane una a prova di pirati informatici! Per altri dettagli su queste procedure e consigli per creare chiavi di accesso non esitare a dare un’occhiata alla mia guida su come creare una password sicura.
Autore
Salvatore Aranzulla
Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.