I furti di password delle ultime settimane, che hanno coinvolto milioni di utenti di Sony, Gawker e altri importanti servizi online di tutto il mondo, hanno messo in luce tre verità fondamentali: 1) le nostre password non sono mai al sicuro al 100% 2) viviamo in un mondo di illuminati convinti che password come “12345” oppure “password” siano inviolabili 3) la stragrande maggioranza degli utenti utilizza la stessa password per tutti i siti, da quello con le ricette di Suor Germana all’account Gmail.
Questo ci ha spinti ad ideare un post in cui raccogliere un po’ di consigli utili e risorse per creare password sicure. Un po’ di sana logica, qualche accortezza in più e un pizzico di curiosità basteranno a mettere tutti i vostri account ragionevolmente al sicuro (per quanto possiamo fare “noi comuni mortali”), quindi non perdiamo altro tempo e vediamo subito come rendere più complicata la vita ai malintenzionati della Rete.
Come deve essere una password sicura? [via]
Iniziamo con le linee guida da seguire per avere delle password sicure. Sono consigli di semplice buonsenso, ma a quanto pare molti utenti non sanno dove stia di casa questo misterioso parolone.
- Lunghezza – una password sicura deve essere di almeno 8 caratteri, ma siamo sullo stretto indispensabile. Molto meglio una parola chiave di almeno 10-15 caratteri. Oltre è il top.
- Caratteri – se la vostra password è composta solo da lettere in minuscolo, cambiatela subito! Una password che si rispetti deve contenere lettere minuscole e maiuscole, numeri e caratteri speciali (es. punti esclamativi, asterischi, ecc.).
- Senso compiuto – bisogna evitare di usare delle password che abbiano un senso compiuto. Usandole, si semplifica maledettamente la vita dei malintenzionati, che sfruttando gli attacchi con il metodo dizionario possono scoprirle in quattro e quattr’otto.
- Una password diverse per ogni sito – usare la stessa password per tutti i siti e gli account equivale a un suicidio telematico. Una volta scoperta la vostra password su un sito “scemetto”, senza troppe protezioni, un eventuale malintenzionato potrà infatti loggarsi in tutti i vostri account, da Facebook a Gmail, e fare carne da macello della vostra privacy.
Creare una password sicura che è possibile ricordare
Il primo metodo per creare password sicure che vogliamo proporvi oggi è un trucchetto molto simpatico ideato (o quantomeno pubblicato) da GroovyPost. Utilizzandolo, si possono creare delle parole chiave che corrispondono pienamente alle caratteristiche di sicurezza che abbiamo visto sopra ma che, al contempo, si possono ricordare senza troppa fatica. Per dirla in poche parole, si tratta di creare delle parole senza senso, aggiungere dei caratteri speciali e dei numeri a queste ultime, e alterare parti di queste ultime per ogni sito in modo da avere password diverse. Ecco tutto in dettaglio:
- Passo 1 – inventare una parola non di senso compiuto composta da un paio di termini (es. StratciaMalnana, ZyppyPop, ecc.) e cercarla su Google per controllare che non sia presente in alcun dizionario.
- Passo 2 – scegliere una sequenza di un paio di caratteri speciali (es. ##, #!, !!, ecc.) da ricordare facilmente.
- Passo 3 – scegliere una sequenza di un paio di numeri (es. 12, 56, 24, ecc.) da ricordare facilmente.
- Passo 4 – modificare la propria password aggiungendo una maiuscola al posto della lettera corrispondente al numero di lettere che compongono il nome del sito per cui verrà utilizzata la parola chiave. Esempio: se il sito è Twitter (nome composto da sette lettere) e la password è StratciaMalnana, trasformare la settima lettera della password in una maiuscola (in modo da ottenere StratcIaMalnana).
- Passo 5 – modificare la propria password aggiungendo i due caratteri speciali e i due numeri scelti prima dopo la maiuscola aggiunta in corrispondenza al nome del sito. Esempio: rimanendo su Twitter, la password da StratcIaMalnana deve diventare StratcI##12aMalnana.
- Passo 6 – applicare lo stesso schema a più siti e servizi online, cambiando la maiuscola in corrispondenza del numero di lettere del nome del sito e facendo seguire la nuova maiuscola dalla coppia di caratteri speciali e numeri scelti in precedenza. Così avrete una password diversa per ogni sito ma facilmente ricordabile.
Creare una password sicura senza sforzi (ma senza poterla ricordare)
Se ritenete il metodo appena illustrato troppo ostico o “artigianale”, fatevi un giretto su PassPlex. Si tratta di un generatore automatico funzionante completamente online che permette di creare password sicure in 5 secondi. Ovviamente, in questo caso vanno generate più password da usare sui vari siti/servizi Web.
Software e sistemi automatizzati
- Gratis – se volete generare password sicure letteralmente impossibili da ricordare e lasciare ad un programmino (o un componente aggiuntivo per il browser) il compito di custodirle e ricordarvele, affidatevi a LastPass. Si tratta di un famosissimo servizio online abbinato ad un software e a degli add-on per tutti i principali browser che permette di generare password sicure e sincronizzarle fra più sistemi operativi, computer e dispositivi (è disponibile anche per iPhone, Android e altre piattaforme mobile). Le password vengono cifrate sul PC e poi spedite ai server di LastPass, dove dovrebbero essere inattaccabili. Molto comoda la funzione di riempimento automatico che compila i moduli di accesso ai siti Internet al posto dell’utente.
- A pagamento – se LastPass non vi convince e avete qualche euro da spendere (diciamo una quarantina), date un’occhiata a 1Password. Si tratta di un programmino maledettamente semplice da usare che crea password sicure, le conserva in maniera sicura e compila automaticamente i moduli dei siti Web, togliendo all’utente l’onere di ricordarsi le parole chiave. È disponibile per PC, Mac e dispositivi mobili.
Come testare il grado di sicurezza di una password?
Ora che sapete come creare password sicure, volete sapere se le parole chiave che avete creato o generato automaticamente con dei servizi appositi sono davvero sicure? Collegatevi al Password Checker di Microsoft e troverete tutte le risposte che state cercando.
Con questo è tutto. Se non avete ancora provveduto a farlo, realizzate in fretta il vostro set di password sicure e correte a cambiare le parole chiave di tutti i vostri account in giro per il Web. È importante, maledettamente importante.
[Photo Credits | reidrac]
#1K.S.
lastpass? ma non ha avuto, qualche mese fa, dei gravi problemi di sicurezza? molto meglio tenersi keepass
#2Daneel
E' vero che ci sono persone che usano password troppo semplici ma per loro questo articolo è del tutto inutile perché non lo leggeranno mai visto che non leggono neanche i 3 /4 consigli che di solito ci sono vicino al campo della prima password.
Il vero problema sono le domande segrete. Leggo in molti forum persone disperate dal furto continuo di password che scelgono sempre più lunghe e complicate e tutte alla fine pensano che il loro persecutore sia un cracker (come se ce ne fossero a migliaia) invece non si rendono conto che il vero problema è la domanda segreta la cui risposta è spesso pubblica e che il persecutore è un compagno di scuola, un collega di università o lavoro o uno del gruppo di "amici". Il mio consiglio è di scegliere una domanda caso e inserire comunque una password.
Faccio un esempio, ad un mio collega di università (Informatica) venivano spesso violate le password ed ovviamente abbiamo pensato ad altri colleghi che hackeravano i server invece un giorno ho scoperto che lui utilizzava la domanda "Cognome di tua madre da nubile?", peccato che sua madre era una severa professoressa delle superiori e che tutti i suoi studenti conoscevano la risposta alla domanda segreta. Quando a quella domanda ha risposto con una cosa senza senso i problemi sono finiti.
Altre violazioni vengono spesso compiute da "amici" lasciati soli in camera mentre si va a prendere qualcosa da offrire o da qualcuno che ha accesso al diario segreto dove molti scrivono le password.
Sun Tzu diceva "Tieni i tuoi amici vicino, ma ancora più vicino tieni i tuoi nemici." ma oggi secondo me la frase diventa "Tieni gli occhi su tutti, amici e nemici perché tutti diventano nemici a seconda del tornaconto"
#3Alberto Paolucci
Facile fare password sicure, difficile farlo capire alla gente pigra buona a dare la colpa ai fatidici "hacker" se il olamer da due soldi gli frega la password da bambini dell'asilo che utilizzano
#4Lory
Ma perché nessuno cita Keepass, gratis e leggerissimo, oltre ad essere estremamente semplice da usare?
#5Lorenzoone
Da quello che ho sentito ha subito un attacco, però se la masterpassword che si usa per accedere a lastpass è forte, non dovrebbero esserci problemi.
Io lo uso e lo trovo comodo ovviamente la masterpassword che ho usato comprende caratteri speciali numeri maiusc. e minusc.
#6Nicola
generare una password "sicura" facendolo fare a un sito, ovvero un soggetto terzo? é come fermare un passante e chiedergli di inventarsi una password per conto vostro. tappatevi gli occhi e spippolate a casaccio sulla tastiera, se proprio volete generare password sicure, ma non ricordabili.
#7Jonny
Quoto Nicola la password fatta fare ad altri è come dare al ladro le chiavi della propria casa e dirgli anche l'indirizzo, il paese di residenza, il cap, la scala, il piano etc. etc. ciao
Le password fatevele voi !
Faccio una domanda magari qualcuno sa rispondermi.
la mia banca ha fatto un sistema che io ritengo intelligente, dunque si entra in home banking sempre con username e passeosrd e fino qua tutto normale, ma per effettuare qualsiasi operazione si deve chiamare un numero che ti forniscono loro al momento, ti forniscono anche un codice a 4 cifre, e il telefono dal quale fare l'operazione può essere solamente il tuo!!! io penso che sia il top! qualcuno sa dirmi qualcosa in merito.
in pratica dovrebbero rubarmi i codici e anche il mio telefonico, cosa al quanto difficile ciao
#8Pjt
Ma usare password molto complicate e scriversele su un'agenda non è più semòlice?
#9anonimo
Una "guida definitiva" sulla sicurezza delle password e non viene nemmeno nominato KeePass?
#10Cristian
Mi permetto di consigliare http://www.passwordsicura.com