Oggi, per la rubrica "sicurezza" vogliamo trattare uno dei temi più caldi: "la gestione delle Password", e diciamo subito che il termine volutamente utilizzato è errato! Ogni giorno ognuno di noi ha a che fare con una password da inserire: computer, smartphone, tablet, accessi a sisti web, bancomat, carte di credito e cos'altro vi venga in mente, al 99% richiede di digitale "qualcosa" per poter accedere... e se non ve lo chiede ci sono solo 2 possibilità:

• la sicurezza non è stata presa in considerazione
• l'avete memorizzata e vi siete dimenticati della sua esistenza

Tra le frasi che più mi vengono dette infatti ricordo: "non ce l'ho", "non ce l'ho mai avuta", "fa tutto da solo" ... per non considerare le tremende: "sarà la mia data di nasciata", "probabilmente la data di mia figlia" "forse "0000"  

Partiamo da capo, con le definizioni! Una Password altresì detta parola chiave o parola d'ordine è nel gergo informatico, una sequenza di caratteri che consentono l'accesso esclusivo ad un sistema; La password è solitamente parte di una "Credenziale di autenticazione" (e/o autorizzazione) in quanto abbinata ad un "nome utente" (solitamente una parola o una emai). Spesso le password sono intercambiabili con PIN (Personal Identificatin Number) che svolgono le medesime funzioni di accesso. Per aumentare la sicurezza alcuni sistemi prevedono una terza password valida una sola volta e detta OTP (One Time Password); gli OTP sono gestite da App o Token (dispositivo fisico) che generano un numero casuale seguendo una sincronizzazione temporale tra dispositivo e server di accesso senza collegamento internet. Gli OTP sono stati creati proprio per rafforzare la password che potrebbe offrire delle criticità se deboli (facili da scoprire) o se smarrite o sottratte. Tecnicamente tale sistema si chiama 2FA (2 Factor Authentication - Autenticazione a 2 fattori).

Le password non sono una novità ma risalgono ai primi anni 80 introdotte nei computer del MIT ed in ambiti militari. Con il tempo anche la normativa se ne è occupata rendendo le credenzili di accesso obbligatorie ai fini del rispetto della normativa sulla privacy e prima e GDPR dopo! Quindi siete in regola, giusto?!

La password è personale in quanto, oltre a fornire l'accesso ad un sistema, solitamente identifica l'utente (la persona) che accede fornendo le autorizzazioni a compiere o meno determinate funzioni o accedere a dati o archivi. 

Come scegliere una password

Premettendo che la password è personale, deve rimanere segreta, e non dovrebbe mai essere detta a nessuno, solitamente sono gli amministratori di sistema o chi vi offre il primo accesso ad un servizio (esempio la posta elettronica) a sceglierne una temporanea che poi il sistema vi chiederà di cambiare al primo accesso. Già il garante della Privacy ha redatto un breve vademcum nella sezione cybersecurity per dare le prime semplici indicazioni, ovviamente non sono sufficienti, ma quantomeno sono una base di partenza e una prima presa di consapevolezza.

Le password, quindi parliamo della "parte segreta di una credenziale", dovrebbe quantomeno rispettare le seguenti caratteristiche:

• essere lunga almeno 8 caratteri 
• contenere almeno una maiuscola, una maiuscola, un numero ed un carattere speciale !"£$%&/() ..etc
• non contenere riferimenti al nome utente (se mi chiamo alessandro, una password del tipo Ale1970! è facilmente violabile)
• non contenere riferimenti temporali all'utente ai familiari e neppure ai propri animali domestici (i nomi di mariti, figlio, cani o gatti sono facilmente reperibili da ricerche sui social network)
• non essere tra quelle presenti nei database delle password più usate (1234, 12345678, 1a2b3c4d, qwerty, password, admin, 00000000, 11111111 solo tra le prime 20 utilizzate)

Il garante indica anche aulteriori sicurezze che però potrebbero anche essere discutibili a livello informatico: 

• non utilizzare la stessa password per tutti gli accessi
• modificare la password con periodicità (la legge obbliga al cambio in caso di trattamento dati di 980 o 120gg .. quindi non brontolate ad ogni richiesta di cambio da parte del software: deve farlo!)

Bene, adesso avete gli strumenti minimi per scegliere una password robusta, come si dice nel gergo tecnico, tenete sempre a mente le poche predette regole. 

Le password spesso non hanno il solo scopo di accedere ad un servizio, ma spesso hanno il compito di cifrare (crittografare) i dati, pertanto più sono complesse e lunghe e più la crittografica sarà forte. Ad esempio la password di un access point wifi non solo ne permette l'utilizzo, ma cripta anche il segnale wireless, vedremo più avanti.

Come detenerla e conservarla

Una volta scelta la password occorre scegliere il modo per conservarla. Si danno per scontate le regole più ovvie che ci dicono di:

• quantomeno non detenerla assieme all'username
• non scriverla sul memo giallo appiccicato al monitor
• non annotarla nel fogliettino dentro il portafogli (vedi pin del bancomat)

ma anche ulteriori regole minime andrebbero quantomeno valutate:

• non condividerle mai via chat e men che meno social network
• non comunicarle mai a persone sconosciute o non fidate (comunque meglio non comunicarle mai)
• non annotarle nel file di word o excel dentro il PC
• non annotarle nelle note del cellulare 
• non scriveterla facendo finta che sia un contatto inrubrica

In caso di intrusioni o di virus informatici i predetti sistemi sono i primi ad essere sistematicamente controllati alla ricerca di password. Aggiungo un altra cautela alla quale spesso non si pensa, in caso di vendita/regalo di un pc usato o di uno smartphone fate attenzione a procedere o alla rimozione dell'Hard Disk o alla sua cancellazione con appositi strumenti. Non basta il ripristino alle condizioni di fabbrica via software, ma occorre procedere a quella che si chiama Data Wipe o Wiping che procede alla cancellazione fisica dei dati scritti sulla memoria. Il trashware è l'attività che fanno alcuni malfattori che vanno a cercare hardware dismesso e rottamato alla ricerca di "preziosi dati ancora memorizzati".

Adesso introduco altre piccole cautele che potrebbero farvi riflettere su come utilizzate le password, sentitevi preoccupati!

1. Non utilizzate le credenziali su computer non di vostra proprietà o pubblici (alberghi, internetppoint, clienti, amici...etc)
2. Non utilizzate le vostre credenziali se connessi a reti wifi non sicure, specie se "aperte" 
3. Non utilizzate password su internet in siti non https 
4. Attivate l'autenticazione a 2 fattori se il servizio lo prevede (es. via sms o smartphone)
5. Non digitale su richiesta di email o operatori telefonici o di teleassistenza
6. Se potete evitate di usare windows (!!!) per servizi di particolare delicatezza
7. Evitate di salvare le password in servizi di Cloud Documents (icloud, google drive, one drive, dropbox, etc..)

Vediamo brevemente il perchè tutte i predetti incauti utilizza possono portare a conseguente nefaste.

Partiamo dal fatto che le credenziali che si riferiscono a voi stessi o vostri familiari sono facilmente desumibili da ricerche su internet e su social network, considerando che spesso l'username è il nome o la mail dell'utente, abbiamo messo i nostri dati (ed spesso i nostri soldi) su di un piatto d'argento. Il memo giallo sul monitor vi espone ad un rischio duplice: il furto ed una bella multa da parte del garante della privacy. Ah... "data breach" vedremo poi di cosa si tratta. 

Condividerla via email equivale quasi a scriverla su di un muro in centro città! La mail (PEC compresa) è un sistema che trasmette contenuti testuali in chiaro che durante il tragitto tra il mittente ed il destinatario è memorizzata in almeno 4 dispositivi purtroppo in maniera leggibile. Il vostro provider ed i suoi dipendenti, quello del destinatario, DNS mal configurati, backup, server antispam e antivirus, sono tutti sistemi dal quale transitano i contenuti e non sempre sono gestiti da "buon samaritani"!

Chat e Social sembrerebbero sicuri...whatapp, Telegram WeChat, messenger parlano ogni giorno di Privacy garantita ma sappiate che la verità non è quella. I termini e le condizioni d'uso di tali sistemi palesemente dicono, e voi accettate usandoli, che i vostri dati sono oggetto di scansione e profilazioni per vari scopi solitamente commerciali, ma...ognuno è padrone delle proprie scelte. 

I file di testo, di word o excel, ma anche opendocument sono fondamentalmente file di testo e pertanto in caso di intrusione, sottrazione, perdita, acesso non consentito il contenuto è visibile. Idem vale per le note sul cellulare e qualsiasi tipo di rubrica. I virus vanno a nozze!

Non è poi una buona scelta quella di eseguire accessi a remote banking o propri servizi utilizzando computer non di vostra proprietà, perchè non potete sapere se quel computer è "sicuro" ad esempio da virus o keylogger. 
Perchè dico di evitare Windows, perchè ovviamente è il sistema operativo più vulnerabile ai virus e quindi quello potenzialmente più pericoloso. Il sistema più sicuro probabilmente sarebbe un sistema operativo Linux utilizzato in modalità live crittografato. Alcune banche australiane già lo fornivano, magari ne parleremo in un articolo dedicato.

Se vi collegate ad un accesso wifi senza password (aperto) tutto il traffico viaggerà "in chiaro" (non crittografato) e chi gestisce l'access point potrebbe averlo fatto volontariamente per copiare il contenuto, in ogni caso sareste a rischio di un attacco informatico chiamato man-in-the-middle che potrebbe deviare e copiare il traffico di rete. E non attacchi così remoti o strani da trovare.

I siti internet sono raggiungibili attraverso quello che si chiama indirizzo web o URL; il protocollo utilizzato per navigare è http, ma solo se seguito da una 's' diventa sicuro! La s identifica infatti i siti il cui traffico è protetto da una sicurezza Openssl di criptazione del dato. Evitate siti web non https://

Per quanto ai furti tramite phishing avremo modo di vederlo in successivi nostri articoli sempre in tema di sicurezza informatica... al momento vi consigliamo sempre di fare attenzione e non aprire ne cliccare su email e link quantomeno sospetti!

Password Manager: software per la gestione delle password

Adesso veniamo alla parte dei consigli, ovviamente sareta già preoccupati e probabilmente sapete già di non averne azzeccata una.. non vi preoccupate poi vi rivelerò anche un trucco per controllare se la vostra cara password, scelta con tutte le attenzioni del caso, è ancora sicura o se è meglio provvedere al suo cambio.

Chiariamo prima di tutto cos'è un software gestore di password, un wallet. E' un software specificatamente progettato per creare, gestire, momorizzare in maniera sicura e criptate le vostre credenziali. Ve ne sono decine, più o meno ricchi di features, in cloud o da installare in locale, multipiattaforma e multiutente; spesso forniti anche come servizi in cloud (SaaS) a pagamento. Ve ne sono di gratuiti (meglio da evitare) e a pagamento; e a seconda della licenza ve ne sono proprietari ed opensource. Personalmente non possiamo ne vogliamo qui consigliarvi ciò che dovrete usare, ma vi facciamo una carrellata dei più famosi con le singole caratteristiche. 

Per la scelta vi consigliamo di fare prima una breve analisi sulle vostre esigenze e modi di utilizzo delle credenziali così da poter scegliere con la massima consapevolezza, specificando che un software open source (che non vuol dire gratuito) è in linea di massima più sicuro di uno proprietario.

Non esiste il password manager perfetto, ma esiste quello più adatto alle proprie esigenze! 

Ecco un elenco non esaustivo, nel prossimo articolo andremo ad analizzarli uno per uno nel dettaglio:

• LastPass
• KeePass
• Bitwarden
• Dashlane
• NordPass
• 1Password
• Roboform
• Browser (firefox, chrome, Safari)

Ovviamente se utilizzerete una password "debole" per il vostro wallet di password... le avrete automaticamente compromesse 

Lo studio offre la consulenza specifica in materia di cybersecurity e privacy, per qualsiasi dubbio siamo a diposizione... dimenticavo il trucco: esistono siti che permettono di controllare se una vostra email o una password è stata già oggetto di compromissione. Ne parleremo in un prossimo articolo.

Twitter