Le password
Al giorno d’oggi è necessario un account per praticamente ogni sito Web o app e tutti richiedono una password. Come esseri umani abbiamo difficoltà a ricordare molte password diverse, quindi usiamo spesso la stessa password per diversi account.
Se da un lato questo rende le cose molto più facili da ricordare, è anche molto, molto pericoloso. Se un hacker riesce a rubare la tua password Spotify, non vorresti che potesse entrare anche nel tuo conto corrente. E se condividi la tua password Netflix con un amico, quella persona non dovrebbe essere in grado di usarla per accedere a Gmail o Facebook.
Ecco perché è molto importante utilizzare una password diversa per ogni sito Web, app e servizio. Cambiare una cifra o una lettera non è sufficiente. Questo tipo di modifiche è facile da indovinare. Per fortuna c’è una soluzione a portata di mano per questo problema: i gestori di password
Gestori di password
Un gestore di password memorizza tutte le password in un archivio digitale e le protegge con una sola password principale. In questo modo, devi solo ricordare una password per accedere a tutti i tuoi account. Queste app possono facilmente generare password molto complicate, come 6ur7qvsZpb0ZkcuSW1u!V8ng!L^lb. Una password del genere non può essere indovinata o craccata.
I gestori di password possono anche compilare i log in di accesso per i siti Web per i quali è stata memorizzata una password. Questo da solo ti protegge da molti attacchi. Se l’indirizzo di un sito web non è corretto, come wellsfargo.mybanklogin.com, il gestore della password non compilerà i dati di accesso di Wells Fargo. È inoltre possibile utilizzare un gestore di password per salvare le note, ad esempio codici di accesso, chiavi segrete e risposte a domande segrete.
Dei buoni gestori di password sono LastPass, 1Password e KeePass. Se non hai mai utilizzato un gestore di password prima, provare la versione gratuita di LastPass è un ottimo modo per iniziare.
- LastPass (gratuito):Lastpass è un gestore di password essenziale ma con molte funzionalità, tra cui un’estensione browser per generare password e inserire le informazioni di accesso. Lastpass ha buone app per il sistema operativo e funziona alla grande anche nella versione gratuita. La versione a pagamento offre un gigabyte di spazio di archiviazione per i documenti sensibili e l’opzione per condividere le password con altre persone.
- 1Password (3 dollari al mese): 1Passwordè noto per il suo design elegante ed è ottimizzato per l’utilizzo su dispositivi Apple, come il tuo iPhone e Macbook. Recentemente l’app ha creato una pratica estensione per il browser Internet (1Password X) che genera password e le compila per te quando visiti i siti web sui quali devi fare login. Un abbonamento 1Password funziona con un tipo speciale di misura di sicurezza (una chiave segreta), che richiede di compilare decine di numeri e lettere per accedere al tuo account.
- KeePass (gratuito): Keepass è considerato il gestore di password più sicuro, perché molti esperti di sicurezza utilizzano l’app e attingono dalle loro competenze per renderlo ancora più sicuro. Il rovescio della medaglia è che l’app sembra piuttosto antiquata, come un antico Windows XP. Fortunatamente, la community di KeePass ha molti sviluppatori entusiasti che creano ottime applicazioni per KeePass. Una valida alternativa è KeePassXC, per molti versi una versione migliore e più completa di KeePass, anch’essa aggiornata da sviluppatori entusiasti.
Potresti chiederti: una cassaforte digitale è, beh, forte? Questa è una buona domanda e una preoccupazione comprensibile. LastPass è stato violato due volte, per esempio. Tuttavia, le password non sono mai state rubate, perché sono archiviate in un deposito digitale molto sicuro.
Una password robusta
I siti web e le app ti chiedono spesso di usare una password con cifre e numeri. Ma qual è una password robusta? Molti ritengono lo sia “P@ssword007”, ma in realtà per gli hacker è abbastanza facile craccarla. Ecco perché potresti prendere in considerazione la possibilità di pensare in termini di passphraseanziché in password.
Le frasi sono lunghe ma facili da ricordare, che sono due prerequisiti per una buona password. Una passphrase come “Mi mangio 2 pizze intere ogni settimana” è facile da ricordare e abbastanza difficile da decifrare. Non esitare a utilizzare gli spazi nelle tue password; un’opzione che spesso viene trascurata.
È anche possibile creare una password mettendo insieme delle parole apparentemente random. Se scegli questa opzione puoi usare Diceware, che attualmente è lo strumento più sicuro per creare una password memorizzabile.
Conservare la password: sintesi
- Usa un gestore di password, preferibilmente uno di quelli di cui abbiamo parlato sopra.
- Usa una passphrase o Diceware.
- Scrivi la password del tuo gestore di password e conservarla in un posto sicuro, per non rischiare di non riuscire più a entrare nel tuo gestore di password.
- Usa il tuo gestore di password per generare password di 20 caratteri e più e lascia che sia il gestore a conservarle per te.
Altri modi di conservare la password
- iCloud Keychain: Il Keychain iCloud è un comodo strumento per la gestione delle password se vuoi usare un prodotto Apple. Keychain può generare password e compilare i form di log in. In qualche misura è più limitato rispetto ad altri password manager, ma è una scelta sicura, se – ed è un grosso “se” – proteggi il tuo account iCloud con una password robusta e un’autenticazione a due fattori
- Nel tuo browser: Browser come Chromee Firefox offrono l’opzione di salvataggio password. È un sistema semplice per loggarti nei siti dove vai spesso, ma il lato negativo è che i browser di solito generano password deboli. Un gestore di password è una scelta migliore.
- Un libro delle password:anche carta e penna possono essere usati come gestori di password. Assicurati di utilizzare password uniche e conservale con cura. Anche creare una copia che si archivia in un caveau fisico, nel caso in cui sia necessario un backup, può essere utile. Quando aspetti ospiti – come amici, familiari, un meccanico o un idraulico – fai molta attenzione a non lasciare la tua lista di password allo scoperto.
Un suggerimento utile è quello di far iniziare tutte le tue password con la stessa parola, che non metterai per iscritto nell’archivio. Basta ricordarla. Se qualcuno vede il libretto della password, non sarà comunque in grado di utilizzarle, perché manca un componente essenziale che è conservato in modo sicuro nel tuo cervello.
Traccia le password rubate
Non importa quanto sia robusta la tua password, potrebbe comunque essere rubata. Ecco perché è importante verificare se le tue password sono state rubate dagli hacker. Il sito web Have I Been Pwned tiene traccia dei siti Web compromessi e avvisa quando qualcuno prende visione di una coppia di tue credenziali. Con il semplice clic di un pulsante, puoi verificare se uno dei tuoi account è stato compromesso. Si consiglia di farlo ogni tanto, solo per essere sicuro.
Se ti iscrivi a Have I Been Pwned, ricevi anche una notifica quando il sistema rileva il tuo indirizzo email in file rubati. In questo modo, saprai esattamente quale delle tue password è stata rubata, in base al servizio o al sito web da cui è stata prelevata. Se il sito trova il tuo indirizzo email tra i file rubati, devi immediatamente cambiare la password corrispondente. In questo modo, la minaccia più grande – un hacker che entra con le tue credenziali – è già stata evitata.
*Ringraziamenti
Questo manuale è stato creato da sei hacker professionisti: Maarten van Dantzig,Rik van Duijn, Melvin Lammerts,Loran Kloeze, Sanne Maasakkers e Sijmen Ruwhof. Le illustrazioni sono state realizzate da Laura Kölker. Il copy editor è Marcel Vroegrijk. La versione originale olandese di Watch Your Hack è stata tradotta in inglese da Kevin Shuttleworth e, ancora una volta, pubblicata da Marcel Vroegrijk. La versione originale è consultabile al sito: https://watchyourhack.com/
