Protezione ottimale della password: come scegliere una password sicura

Che sia un account di posta elettronica, Dropbox o l’online banking, quasi dappertutto è necessaria una password per effettuare il login e poter utilizzare i servizi online. Nella scelta della password molti utenti ricorrono a combinazioni classiche di nomi, date o luoghi di nascita facili da ricordare. A volte basta un piccolo errore per decifrare una password in pochi secondi. Creare una password veramente sicura è più complicato di quanto si pensi.

Nella maggior parte dei servizi online la password è l’unico meccanismo di protezione per informazioni sensibili. Se durante la scelta della password si ricorre per comodità a combinazioni troppo semplici, per gli hacker diventa facile criptare la password e riuscire ad accedere per esempio a dati di pagamento o informazioni personali. Già un semplice attacco a dizionario a volte basta per criptare molte delle password in uso. Con questo tipo di attacchi cibernetici si provano su un programma numerose password, le quali si basano su stringhe di caratteri che danno come risultato parole sensate: viene cioè passato in rassegna una sorta di dizionario. Una password efficace dovrebbe pertanto essere composta da almeno 8 caratteri alfanumerici casuali e caratteri speciali. Un’importante password principale, per esempio una password di sicurezza, dovrebbe almeno contenere 12 caratteri.

Scegliere una password efficace non è facile, anche quando si evitano gli errori di cui si è parlato sopra e si sceglie una combinazione di caratteri sufficientemente lunga. Non appena si trova una combinazione ricostruibile in modo personale e facilmente memorizzabile, la password diventa intuibile, almeno per i sofisticati programmi hacker. È importante perciò utilizzare un generatore di password. Questi strumenti esistono anche come app, per esempio Passwort Generator App con cui è possibile creare in pochi clic una password sicura. Generatori di password simili però si trovano anche come software gratuiti per il PC. Programmi come PWGen creano dopo l’installazione password sicure della lunghezza desiderata.

Si possono utilizzare anche le seguenti strategie per trovare una password sicura e variabile per tutti gli accessi: si alterna una password principale/master password quasi “indecifrabile” utilizzando una combinazione di caratteri definita per i diversi portali web. È possibile così procedere secondo un qualsiasi schema. Una possibilità è, per esempio, combinare la master password con il nome del servizio utilizzato, per esempio PayPal o Ebay.

Esempio di una strategia per la scelta di password

Naturalmente nella strategia proposta qui sopra non si sceglie “master password+Ebay” come password. Si prende invece per esempio la vocale o sempre la seconda o terza lettera del nome del servizio e la si colloca in posti precisi della master password, per esempio sempre in seconda, terza o ultima posizione.

Esempio: la master password è G5w.&$;(9b.B e si vorrebbe creare la password per Ebay. Si sceglie la prima o la terza lettera del servizio, cioè nel caso di Ebay la “e” la “a”, si colloca la lettera all’ultimo o terz’ultimo posto della master password e si aggiunge all’inizio della password il numero di lettere di cui è composto il nome. Così si ottiene la password 4G5w.&$;(9bE.Ba. Se si procede secondo lo stesso principio per il servizio PayPal, la password diventa 6G5w.&$;(9bP.By.

Master password solo per siti affidabili

Anche se si utilizza un sistema intelligente rimane pur sempre un rischio residuo. Non è mai escluso che qualcuno scopra il modello utilizzato e che da un account ne deduca la password dell’altro. È quindi importante che le combinazioni con la master password vengano applicate solo a pagine affidabili al cento per cento. Per pagine meno importanti e forse anche meno sicure si consiglia di utilizzare un’altra password. Per forum e community, che sono meno sicuri, rimane l’opzione di cosiddette password monouso che si utilizzano solo una volta e in nessun’altra variazione.

Ricordare una password generale con più di 12 caratteri non è per niente facile. Un trucco più semplice è quello di usare la combinazione come password utente per il PC. In seguito, si deve impostare il timeout del blocco schermo dopo un intervallo molto breve, ad esempio due minuti. Questo fa in modo che dopo ogni piccola pausa al computer si debba inserire nuovamente la password, cosa che alla lunga può seccare, ma permette che la password si fissi nella memoria.

Un’ultima regola d’oro per la sicurezza della password: non si dovrebbe mai conservare la password sul PC in forma non criptata (in modo leggibile), per esempio annotandola su un file excel. Potrebbero infatti essere spiate facilmente da altri utenti o da un trojan. È meglio gestire password sensibili con l’aiuto di un password manager come Password Safe, 1Password o LastPass. Maggiori informazioni su questo argomento sono disponibili anche su un altro articolo.