Un recente studio ha esposto che in media una persona possiede circa 168 account digitali, di cui 87 per uso professionale. Un numero molto grande se pensiamo a cosa corrispondono quegli account: la app della banca, il servizio di posta elettronica, la musica e i film in streaming o la carta fedeltà del supermercato. In comune hanno tutti una cosa: sono protetti da password. Queste stringhe di caratteri stanno diventando di grande valore proprio perchè sono come le chiavi di accesso a tutti i servizi che usiamo quotidianamente e che, in molti casi, ci sono indispensabili. Questi dati hanno valore anche per i pirati informatici, che attaccano costantemente aziende e singole persone per ottenere le credenziali che proteggono le loro identità online, traendo profitto pubblicandole, rivendendole o usandole a proprio vantaggio. Per evitare di ricevere brutte sorprese è necessario proteggere le nostre password e, soprattutto, renderle davvero efficaci.
Password di alta qualità
Per iniziare, dobbiamo capire come identificare una password capace di fare il suo lavoro. Per ottenere un buon risultato dobbiamo concentrarci su due aspetti: robustezza e conservazione.
Robustezza
La robustezza di una password è proporzionale al tempo necessario per ‘bucarla’ usando sistemi detti a forza bruta (brute force) dove si provano tutte le combinazioni più comuni finché non si indovina la password. Per ottenere più robustezza è necessario seguire alcune semplici regole quando la si crea:
- Usare tutti i caratteri possibili, cercando di usare lettere maiuscole e minuscole, caratteri speciali (#, @, &, % etc.) e numeri.
- Non inserire dati personali come nomi, date, luoghi o simili.
- Non usare la stessa password per più account.
- Non inserire mail o username di account.
- Usare il più possibile password randomiche (con caratteri scelti a caso).
Quest’utilma regola è un po’ difficile da applicare ‘da soli’ ma, come vedremo successivamente, ci sono degli strumenti che ci verranno in aiuto. Per chiudere questo aspetto bisogna spendere due parole sulla lunghezza delle password. Seguendo uno studio periodico diretto da Hive Systems si sono definite delle linee guida per capire quanto lunga deve essere una password per essere quasi impossibile da bucare. In particolare la seguente tabella presenta tutte le possibili lunghezze e il tempo necessario a indovinarle:
In sintesi, possiamo considerare sicuro un numero minimo di caratteri superiore ai 14. Questo perchè lo studio tiene conto anche dell’avanzamento tecnologico dei computer e di come, in futuro, apparecchiature più potenti potrebbero ridurre i tempi per indovinare una password. Aggiungo anche che si stanno facendo degli studi avanzati per studiare come rendere la crittografia e le password sicure in prospettiva dei computer quantistici. Per i più curiosi consiglio di fare qualche ricerca in merito.
Conservazione
Dopo aver ottenuto la nostra password complessa, lunga e difficile da indovinare tocca metterla da qualche parte. Credo che pochi di voi vorranno affidare unicamente alla propria memoria una password così complessa. Quindi come fare a conservare queste informazioni? Il metodo classico potrebbe essere quello di appuntarsele a mano da qualche parte. Sinceramente, credo sia una pessima idea: chiunque ottenga fisicamente accesso al pezzo di carta su cui avete scritto tutto può entrare su tutti i vostri account e, inoltre, scrivere a mano 14 caratteri ogni volta che bisogna entrare in un account diventa un lavoro lungo e frustrante. Ci serve uno strumento che salvi le nostre password su un supporto digitale e che trascriva le nostre credenziali con pochi click dove ci servono. A primo impatto una soluzione potrebbe essere usare la funzione integrata nei nostri browser (come Chrome, Edge, Safari o Firefox) per salvare le nostre password. Anche questa non è un’ottima idea. Molti di questi browser salvano le vostre password in server di cui non sapete la provenienza o, in altri casi, le salvano direttamente sul dispositivo ma con metodi poco sicuri o con tecniche crittografiche scadenti. Inoltre i browser sono facilissimi da attaccare e sono spesso il principale vettore di attacco per il furto di dati, visto che con funzioni tipo “ricorda questo dispositivo” permettono di accedere agli account dell’utente senza neanche dover inserire le credenziali dopo il primo accesso.
Quelli che voglio presentarvi oggi sono degli strumenti che non solo risolvono i problemi della conservazione delle password ma che ci aiutano anche a generarle automaticamente, rendendole a prova di bomba. Questi strumenti si chiamano password manager e sono dei software o servizi che permettono di salvare, creare e utilizzare le nostre password ricordando un’unica master password. Esistono tanti password manager in giro, ma tutti si basano sull’idea di usare una password unica per poter accedere al vostro archivio con tutte le altre password. Quelli che vi consiglio oggi sono le due soluzioni più sicure e convenienti che ci sono in giro. Sono entrambi disponibili per tutti i dispositivi e sistemi operativi e sono completamente gratuiti per singolo utente.
Bitwarden, la soluzione per tutti
Senza dubbio il più semplice da usare, Bitwarden è un progetto open source che salva le nostre password in un server remoto con i più alti standard di sicurezza al momento disponibili. Si installa tramite un’estensione per browser o l’applicazione per smartphone e sincronizza automaticamente i cambiamenti su tutti i vari dispositivi. Bitwarden permette di generare le password in modo randomico rispettando dei criteri che noi possiamo dargli e con un click permette anche di fare un controllo se tale password è stata rubata (e quindi va cambiata). Inoltre fornisce l’autocompletamento automatico delle credenziali, ciò significa che non bisognerà ricordarsi lunghissime stringhe di caratteri a memoria. L’unica cosa da non perdere mai è la master password che oltre a essere molto robusta deve anche essere facile da ricordare. Ovviamente Bitwarden ha creato uno strumento per darvi una mano nel cercare una buona master password. Infine, per chi vuole smanettare un po’ è possibile farsi il proprio server Bitwarden in casa. In questo modo il database con le nostre credenziali sarà sotto il nostro completo controllo.
Keepass, per chi vuole il massimo della sicurezza
Keepass è la soluzione per chi vuole il massimo controllo sulle proprie password, al costo di un po’ di lavoro di configurazione. Keepass è un altro progetto open source che permette di controllare le nostre credenziali ma che ha delle sostanziali differenze con altre soluzioni: il software (scaricabile tramite vari client che vedremo tra poco) salva il nostro database all’interno di un file crittografato direttamente sul nostro dispositivo, funziona offline e non ha alcuna forma di sincronizzazione su più dispositivi. Per ovviare a questo problema si usa principalmente un software chiamato Syncthing per condividere il database tra vari dispositvi quando connessi entrambi ad internet. Esistono client di Keepass per ogni dispositivo:
- KeePassXC per PC Windows, Mac e Linux.
- KeePassDX per Android
- Strongbox per iOS (questa soluzione fornisce sincronizzazione automatica con MacOS tramite iCloud)
Tutti i client KeePass possiedono le stesse funzioni di Bitwarden più qualche altra chicca come lo sblocco del database con le chiavi per l’autenticazione a due fattori (tipo Yubikey o SoloKey)¹. Concludo ricordando che questa soluzione non è per tutti e che richiede qualche conoscenza in più per essere attuata senza fare danni. Scegliete con consapevolezza e cercate sempre di fare backup per tutte le vostre credenziali ove possibile.
Come al solito, lascio di seguito alcune risorse che possono esservi utili per incominciare a usare gli strumenti visti in questo articolo e per approfondire meglio l’argomento. Ovviamente, i feedback sono sempre molto graditi, anche per pensare i prossimi argomenti da trattare.
- Lista delle 200 password più usate (2024)
- Playlist d’introduzione a Bitwarden [EN]
- Guida non ufficiale all’uso di Bitwarden [IT]
- Guida YT completa a Keepass [EN]
- Guida YT a Keepass con sincronizzazione Synthing [EN]
- Video YT di Blockchain caffè sui password manager [IT]
- Guida ufficiale di KeepassXC [EN]
¹Queste funzioni potrebbero essere riservate al piano a pagamento per quanto riguarda il tool Strongbox. KeepassXC e KeepassDX non presentano piani di abbonamento o servizi a pagamento.
