Come creare una password sicura I consigli degli 007 di Sua Maestà

Le password sono la croce di ogni internauta. Sarebbe infatti ben difficile definirle anche una delizia, a meno che inventare complicate formule alfanumeriche non sia una vostra passione nascosta. Non importa quanti segreti avete, se li avete, non importa se sono segreti di Stato, bancari, o segreti di Pulcinella: le password servono, sono obbligatorie e nessuno può fare un passo dentro o fuori casa se non ha una “chiave” che protegga l’accesso ad account eterei, impalpabili, ma decisamente vitali. Il governo inglese ha messo al lavoro i suoi servizi segreti per stilare un vademecum che offra aiuto agli utenti digitali. «Ogni inglese possiede, in media, venti password», asserisce la prefazione all’agile guida consultabile online. E continua: «La morte della password è stata annunciata decenni fa. Si pensava che sarebbe stata sostituta da un metodo di autenticazione alternativo. Ma da allora l’uso delle password è solo aumentato». Dunque, niente da fare, nemmeno le predizioni più nere hanno potuto scalzare il dominio delle “parole di sicurezza”.

Dato che segnarsele, scriverle su foglietti volanti (o no), è la cosa peggiore che si possa fare, e dato che usare e riusare la stessa password per account di tipo diverso espone a rischi insostenibili per la privacy, è bene cercare di mantenersi entro i limiti di sicurezza. Ma come fare, quando questi limiti diventano davvero insopportabili e difficilmente gestibili? Ecco le risposte degli 007 di Sua Maestà. Con nostra meraviglia, sono dirette in gran parte ai gestori informatici, più che ai cittadini.

1. Cambiare tutte le password di default. Ebbé, fin qui tutto chiaro come il sole. Lasciare le password preimpostate espone al pericolo di venire hackerati. Nel 2012, il Carna Internet Census ha trovato centinaia di migliaia di sistemi informatici scoperti, proprio perché non si erano presi la briga di inventare una password diversa da quella erogata automaticamente.

2. Aiutare gli internauti ad alleggerire il sovraccarico di password. Ecco la prima dritta rivolta ai gestori di software. La guida suggerisce di evitare di imporre la scelta di password per account che non proteggono informazioni delicate.Se si può evitare la segretezza, evitiamola.

3. Comprendere le limitazioni delle password generate dagli utenti. Le password inventate dagli utenti sono più numerose rispetto a quelle generate da un sistema informatico, perché sono più comode, sono più facili da ricordare, spesso e volentieri sono più brevi. Ma sono anche meno sicure. Per evitare che ciò leda la sicurezza di un account, è bene che i gestori eseguano controlli periodici e stilino una “lista nera” delle password più usate e dunque meno solide (qui ne trovate una).

4. Comprendere le limitazioni di password generate dai sistemi automatici. Le password di questo tipo sono calibrate in modo tale da essere più criptiche, dunque meno facili da decodificare. Come si è detto nel punto precedente, sono anche più complesse da ricordare. I gestori online, dunque, dovrebbero usare schemi generativi che vengano incontro alle esigenze degli utenti, offrire una scelta di password e sconsigliare vivamente gli internauti di usare le stesse password al lavoro e a casa.

5. Dare la priorità agli account degli amministratori e dei remote user. Data la loro importanza, gli account degli amministratori di un sito, ad esempio, devono essere più protetti degli altri. Perciò, dovrebbero avere una soglia di sicurezza più alta, che includa controlli multipli. Anche la seconda categoria di account degli utilizzatori deve avere più barriere. Sono infatti necessarie per autenticare l’identità di chi esegue un accesso da remoto.

6. Utilizzare misure di sicurezza per controllare gli accessi agli account. Gli account possono essere provvisti di ulteriori controlli. Ad esempio, si può imporre un numero massimo di tentativi di inserimento della password, oppure si può attivare un servizio di monitoraggio che permetta di rilevare tentativi di forzare o indovinare la parola d’accesso.

7. Non immagazzinare password di solo testo.  È molto meglio evitare di farlo, perché le password di questo tipo sono molto facili da rubare. Si può invece usare una parola-chiave di solo testo e poi sottoporla alla funzione di hashing, la quale “trasforma” la formula alfabetica in un crittogramma più sicuro. Inoltre, anche se gli hacker dovessero entrare in un database contenente password di questo tipo, non sarebbero comunque in grado di capire quale di queste sono effettivamente in uso.