Come proteggere le tue password

Proteggere le tue password è essenziale per la tua vita digitale. È la barriera di difesa per i tuoi dati bancari, gli account di posta elettronica, i tuoi documenti e i tuoi acquisti.

Non solo: oggi sempre più servizi pubblici sono digitali: le comunicazioni con le pubbliche amministrazioni viaggiano attraverso PEC, servizi come quelli dell’Agenzia delle Entrate sono accessibili tramite credenziali SPID o carta di identità elettronica (CIE).

Se qualcuno dovesse entrare in possesso delle tue chiavi d’accesso, insomma, non avrebbe problemi a rubarti l’identità e commettere ogni tipo di frode (te ne abbiamo parlato qui). Purtroppo i criminali informatici hanno strumenti sempre più efficaci per rubare le password. L’ultimo nato è PassGAN, un tool che sfrutta la potenza delle intelligenze artificiali generative: alcuni esperimenti mostrano come sia in grado di individuare più della metà delle parole di sicurezza più comuni in meno di un minuto.

Ecco perché in questo articolo vogliamo raccontarti tre passaggi essenziali per difenderti e – soprattutto – farlo in modo semplice.

1. Usa un password manager

Le password sicure devono essere lunghe, molto lunghe. Fino a poco tempo fa bastava mantenersi sugli otto caratteri. Oggi conviene superare i sedici. Poi è importante che contengano simboli, numeri e – soprattutto – che siano casuali.

Queste parole non devono essere associabili a nate di nascita, nomi di parenti, animali domestici, luoghi di vacanza. Perché attraverso tecniche di social engineering (che ti abbiamo raccontato qui) i criminali potrebbero risalire a queste informazioni e iniziare a “indovinare” le tue password.

Insomma: una password efficace deve essere difficile da ricordare. Ed ecco perché conviene avere un password manager faccia il lavoro per te.

Questi software archiviano in modo sicuro (il principio sia chiama zero knowledge) e così, anche se venissero violati, nessuno potrebbe risalire alle tue parole chiave. Sono dotati di estensioni per i browser e app per smartphone per sincronizzare i tuoi dati attraverso i tuoi dispositivi. Inoltre, non appena ti registri su un nuovo sito, si occuperanno di generare per te password robuste, uniche e casuali. Tra questi strumenti, il più semplice è 1password, mentre tra i più completi c’è Dashlane – che include anche una VPN e l’archiviazione sicura dei documenti.

Ti stai chiedendo se basti salvare le password con lo strumento integrato nel tuo browser? La risposta è no e i motivi sono tre:

• Con l’uso del solo browser i dati non sono sincronizzati sui vari dispositivi (dovresti quindi ricordartele e per pigrizia potresti finire per riciclarle);
• Questo sistema non usa la doppia autenticazione (tra poco vedremo di cosa si tratta);
• Non meno importante: la cifratura dei dati non segue i massimi criteri di sicurezza.

2. Punta sulla complessità

Un vecchio luogo comune sulle password suggeriva di cambiarle ogni sei mesi. Oggi questo suggerimento è inutile. Devi prestare attenzione ad altro. È assolutamente vietato riciclarle: perché se un sito venisse violato, i criminali – per esempio – potrebbero usare la parola chiave della tua mail per provare a entrare nel tuo conto corrente. E sarebbe davvero pericoloso. Quindi, quando pensi a una nuova password, fa’ in modo che sia davvero complessa. Il suggerimento che ti spiegheremo tra poco ti servirà anche per la master password del password manager – cioè la parola chiave che protegge la cassaforte digitale di questi strumenti.

• Prendi un libro che hai a casa, aprilo a una pagina a caso. Memorizza il numero di pagina e leggi la prima parola.
• Apri un’altra pagina a caso, memorizzala, e – anche in questo caso – leggi la prima parola.
• Ripeti l’esercizio 5 o 6 volte.

Le parole che avrai letto formeranno una password sufficientemente lunga e difficile da indovinare, anche per i sofisticati strumenti usati dai criminali. Sarebbe meglio imparare a memoria il tutto ma, se hai difficoltà a ricordare, ti consigliamo di appuntare i numeri delle pagine del libro. Così avrai una guida, ma la password non sarà scritta in chiaro da nessuna parte. Come suggerisce l’Electronic Frontier Foundation, ti conviene trascrivere questi aiuti alla memorizzazione su carta ed evitare documenti elettronici, perché è più semplice che un computer venga violato piuttosto che qualcuno si introduca in casa tua.

3 . Usa sempre la doppia autenticazione

Se un ladro dovesse indovinare la tua password, c’è sempre un’altra barriera. Si chiama doppia autenticazione e consiste in una sequenza casuale generata in tempo reale da un altro dispositivo, per esempio uno smartphone. Per questo motivo, è molto importante abilitarla su qualunque sito ti offra questa possibilità. Oggi il metodo più comune per gestire l’autenticazione è via sms, ma ti consigliamo – se possibile – di evitarlo. Questo perché negli ultimi anni si è molto diffusa la tecnica della sim swap fraud con cui un malintenzionato clona il tuo numero di telefono, in modo da intercettare il messaggio di testo che contiene il numero di autenticazione.
Come alternative ci sono questi due validi strumenti:

• Authentication app come Google Authenticator o Microsoft Authenticator, che genereranno una sequenza casuale solo sul tuo telefono e solo quando collegato al tuo account. Dopo averle scaricate sul tuo smartphone, si possono agganciare a siti attraverso la scansione di un semplice QR Code o anche allo stesso password manager.
• Chiavi di sicurezza hardware. È il metodo di sicurezza più sicuro ad oggi perché non può essere intercettato neppure se i tuoi dispositivi fossero stati violati da software spia. Questi oggetti hanno l’aspetto di chiavette usb e sono dotati di connessione senza fili NFC. Ti basterà inserirle sul tuo computer o premere il pulsante sul dorso per sbloccare l’autenticazione addizionale. La soluzione più famosa è di Yubico e purtroppo ha un costo, anche se non elevato: circa 30 euro.

E tu, quali tecniche utilizzi per proteggere le tue password?