Quando creiamo i nostri profili on-line ci viene sempre richiesta una password.

La password serve per evitare che altri entrino nel nostro account e possano gironzolare tranquilli tra i nostri dati e magari rubarli per farne chi sa che.

Ma l’essere umano è fatto in modo strano: se il pericolo è concreto ed immediato riesce a reagire in modo efficace (anche se non sempre efficiente); viceversa se il pericolo è astratto, lontano, non percepibile nell’immediatezza, è portato a trascurarlo. Il cervello trova una soluzione molto semplice: ci pensa dopo. È l'atto del procrastinare. E così lì per lì metti la prima password che ti viene in mente e che, guarda caso, è il nome di tua moglie, di tua mamma, la data di nascita dell’amato pargoletto e via dicendo.

Questo comportamento è poco sicuro. Se per un utente normale il pericolo è di perdere il controllo sui propri dati, però, per chi svolge l’attività di commercio elettronico il pericolo è molto molto maggiore.

Pensa solo per un attimo se un malintenzionato venisse a conoscenza della password di accesso al back end del tuo e-commerce: avrebbe accesso a tutti i dati personali dei tuoi clienti o ai dati delle vendite, solo per citare quelli più importanti.

Utilizzare password sicure e gestirle in modo efficace, dunque, è un fattore cruciale per la sicurezza della tua attività.

È tanto cruciale che il “Disciplinare tecnico in materia di misure minime di sicurezza” di cui all’allegato B al Codice in materia di protezione dei dati personali si apre proprio con il titolo “Sistema di autenticazione informatica”. Tra gli argomenti affrontati c'è proprio la password.

In questo articolo, tra le altre cose, imparerai:

  • Quali sono i più comuni modi per rubarti le password;
  • Quali sono i comportamenti corretti da tenere quando si crea un profilo online (magari quello per accedere all’account bancario o al back end del tuo e-commerce!)
  • Quali accorgimenti adottare per evitare di farsi crackare l’account.

Password sicure: comportamenti corretti

1) La password deve essere lunga almeno 8 caratteri. L’istinto dice di creare una password non troppo lunga: dopo sarà più facile ricordarla. Invece devi fare l’esatto opposto. La ragione è semplice e si chiama matematica, più precisamente Calcolo combinatorio: dato un insieme finito di caratteri sono finite anche le combinazioni che da essi possono avere origine. Con un attacco brute force (forza bruta) un cracker (non un hacker!) non fa altro che provare combinazioni su combinazioni fino a trovare quella giusta. Ci vuole molto tempo per portarlo a termine e il tempo dipende dalla lunghezza della password (e dall’altra condizione di cui parliamo al punto successivo). Quindi, più è lunga la tua password, più filo da torcere darà all’aggressore.
Il limite minimo di 8 caratteri, invece, è imposto dall’esperienza ma soprattutto dall’allegato B al codice in materia di protezione dei dati personali, il Disciplinare tecnico in materia di misure minime di sicurezza. Ovviamente se la password è creata per scopi estranei al trattamento dei dati personali (sia fuori che nell'ambito dell'attività di impresa) nessuno ti obbliga a rispettarlo.

2) La password deve contenere anche numeri e caratteri jolly. Il ragionamento è lo stesso fatto in precedenza. Se il numero di caratteri di cui è composta la password influisce sul numero di combinazioni possibili, allo stesso modo le combinazioni aumentano all’aumentare dei caratteri utilizzati. Più caratteri, più combinazioni. Maggiore lunghezza, più combinazioni. Più combinazioni, più sicurezza.

3) Usa differenti password su differenti siti. Chi naviga molto è tentato di provare servizi su servizi. Il problema è che ogni volta bisogna iscriversi e fornire una password. Dopo un po’ le password diventano tante e il primo impulso è di utilizzare sempre la stessa in modo da non dimenticarla. Ma se un malintenzionato la scopre anche una sola volta, su un solo servizio, tutti gli altri siti per i quali la usi saranno compromessi. ?A questo punto succede quanto segue:

  1. Sorge il pericolo reale di perdere i dati o di farteli rubare (ma probabilmente ora non è tanto un pericolo quanto una realtà);
  2. Dovrai sostituire la password su tutti gli altri siti sperando che non siano stati già violati;
  3. Ormai ti sarai scottato e probabilmente deciderai di usare una password diversa per ognuno dei siti.

E non è meglio iniziare da subito a "mettersi in regola"?

4) Evita nomi comuni o nomi propri. Parlando della lunghezza della password ti ho parlato degli attacchi brute force. Esiste un secondo modo di eseguire un attacco brute force: usare dei dizionari. Non ti spiego cos’è un dizionario perché offenderei la tua intelligenza. Non la offendo, però, se ti dico che esistono vari tipi di dizionari che vengono dati in pasto al software che prova sul form di login ad una ad una le parole in essi contenute. Se hai usato un nome comune o un nome proprio stai tranquillo che il programma prima o poi lo trova. In più con un po' di social engineering è possibile restringere di molto il campo di ricerca e velocizzare il processo se non addirittura individuare direttamente la password giusta.

5) Evita dati personali (date di nascita, nomi di animali, nomi di parenti o amici o conoscenti, libro o piatto preferito, canzone di coppia, codice fiscale, ecc.). I dizionari sono un pericolo. Ma i dizionari sono generici. Cosa fa un cracker che vuole ridurre i tempi? Visita la tua pagina Facebook! Vede chi sono i tuoi amici, chi è tua moglie, i tuoi figli, la tua data di nascita ed ogni informazione utile. Quindi crea un dizionario e lo prova. La password è craccata. Credi sia un pericolo irragionevole? Mai sentito parlare di social engineering? Probabilmente per scoprire la tua password basterà un breve giro sulla tua pagina di Facebook o una chattata via MSN. Non usare dati personali per la tua password.

6) Cambia frequentemente le password. Un consiglio che io reputo utile ma poco praticabile. Pensa se hai già 10 siti quanto tempo impiegheresti per cambiarle ogni mese. Meglio creare una bella password alfanumerica con caratteri jolly, lunga e memorizzarla al sicuro. Attenzione però! Se la password riguarda un servizio che usi per l’attività commerciale allora non si scappa: devi cambiarla ogni 6 mesi. I mesi scendono a 3 se i dati che tratti sono sensibili o giudiziari. Lo impone il Codice in materia di protezione dei dati personali.

Password sicure: accorgimenti utili

1) Usa strumenti che ti proteggano da attacchi più subdoli. Le tue password come i dati personali o sensibili dei tuoi clienti o della tua carta di credito possono essere messi in grave pericolo se il tuo computer non è adeguatamente protetto. Un worm come Conficker può agevolmente scardinare il tuo sistema e cercare, trovare e rubare dati.? Non solo worm, ma anche virus, trojan horse, backdoor, spyware sono pericolosi. Contro tutte queste minacce devi adeguatamente proteggerti installando un firewall, un antivirus e un antispyware.

2) Tieni il sistema aggiornato. Ogni volta che appare quella finestra sul browser, magari in inglese, leggila! Non chiuderla semplicemente. Probabilmente vuole avvisarti che il sistema deve essere aggiornato. Fallo! Avere un sistema non aggiornato è come avere una porta blindata e lasciare la finestra aperta (e tu abiti al piano terra!). Quindi aggiorna il sistema operativo, l’antivirus, l’antispyware, il firewall e ogni altro programma che usi sul tuo PC. I malware si diffondono attraverso moltissimi canali e con tecniche anche molto avanzate. Tipicamente essi sfruttano le vulnerabilità dei programmi che installi sul tuo computer. Tenendo il sistema aggiornato gli impedisci di rubare i tuoi dati e le tue password.

3) Domanda segreta e risposta. All’inizio molto probabilmente utilizzerai un foglio per appuntare le password. Non è sbagliato. È sbagliatissimo! Però tant’è. Se ti ostini ad usare un foglio di carta almeno usalo nel modo giusto e quando annoti le password e la risposta segreta scrivi in stampatello e rispetta spazi, maiuscole e minuscole. Spesso i siti non lo dicono ma anche le risposte sono case sensitive. Usa "o" oppure "O" per la lettera; "0 spaccato" per il numero. Lo stampatello serve perché ti permette di distinguere bene le lettere (non conosco la tua grafia ma la mia è ordinata e comunque scrivo in stampatello, non in corsivo).

4) Annota quale indirizzo e-mail hai usato per creare l'account. Se perdi la password e ne richiedi una nuova devi sapere quale indirizzo e-mail hai usato per registrarti: è lì che ti verrà mandata la password. Se non ti ricordi l’indirizzo e-mail, ovviamente, avrai un problema. Quindi appuntalo, sempre, anche se ne hai uno solo. Nessuno ti dice che in futuro non ne aprirai altri. E se ne apri altri e ti viene chiesto un indirizzo e-mail alternativo, appunta anche quello.

5) Usa un generatore di password. Probabilmente questo ti sembrerà un consiglio inutile. Stai tranquillo che però non lo è perché il problema è avere la fantasia per creare tante password. Prova a creare 10 password diverse pigiando i tasti a caso sulla tastiera. Ti accorgerai che le lettere che usi sono molto spesso sempre le stesse. Un generatore casuale, invece, ti permette di avere password che tra loro non hanno alcun legame. In realtà con un computer non è possibile ottenere la casualità pura, ma il livello raggiunto è sicuramente sufficiente.

6) Usa un password manager. Ti ho detto prima che utilizzare un foglio di carta non è il modo migliore di gestire le tue password. Nemmeno usare post-it e simili è un comportamento corretto. Il foglio potrebbe essere letto da qualcun altro; il post-it da chiunque passi vicino alla tua scrivania. Questa eventualità è tassativamente vietata dal Codice in materia di protezione dei dati personali. Ovviamente io e te non siamo gli unici a dover gestire molte password e qualcuno ha pensato ad una soluzione: un password manager. Un password manager non è altro che un software che memorizza tutte le tue password ed al quale accedi, ovviamente con una password. Però dovrai ricordarne solo una, non decine e decine!

Conclusione

Abbiamo visto quali sono le caratteristiche di una buona password: tienile bene a mente nel creare le tue. Non rifugiarti nella rassicurante idea che tanto a te non succede o che nessuno ha interesse a rubare la tua password o che i tuoi dati non sono importanti. Le password sono come le chiavi di casa e se anche a casa tua dovessi avere solo il letto non credo le cederesti a qualcuno o gli permetteresti di farne una copia: la casa è tua e anche se non c’è niente nessuno deve entrarvi.
Se poi a casa tua custodisci cose altrui (i dati personali o sensibili dei tuoi clienti per intenderci) allora capisci che sulle spalle hai una grossa responsabilità, non solo morale ma anche legale perché è il Codice in materia di protezione dei dati personali che ti impone di mantenere quei dati al sicuro.

Alcuni dei consigli che ti ho dato possono sembrare un incombenza a leggerli. In realtà nella pratica ti fanno risparmiare tempo (come creare la password con un generatore casuale e gestirle con un password manager) e sono anche molto più pratici.

A questo punto non mi resta che farti il mio in bocca al lupo con le tue password. Se conosci altri metodi per creare una buona password o per gestirle in modo efficiente condividili con noi lasciando un commento!