Come funziona un password manager

La password più sicura è quella composta da decine di lettere e numeri? Non proprio.
Immagine: Motherboard

Questo è un passaggio tratto da La Guida di Motherboard per Non Farsi Hackerare.

Abbiamo tutti un sacco di password da ricordare e questo è il motivo per cui alcune persone preferiscono utilizzare sempre le stesse. Riutilizzare le password è una cattiva idea perché se, per esempio, un hacker riesce a prendere possesso della vostra password di Netflix o Spotify, può poi usarla per entrare nel vostro account di car sharing o nel vostro conto corrente e prosciugare la vostra carta di credito. Anche se le nostre menti non sono in realtà poi così male nel ricordarsi le password, è quasi impossibile ricordarne dozzine che siano sicure ed univoche.

Pubblicità

La buona notizia è che la soluzione a questi problemi esiste già: i password manager. Sono app o estensioni per il browser che tengono a mente le password al posto vostro, aiutano a crearne di buone e semplificano la vostra vita in rete. Se utilizzate un password manager, dovete ricordare una sola password, quella che sblocca il caveau che contiene tutte le altre.

Anche se le nostre menti non sono in realtà poi così male nel ricordarsi le password, è quasi impossibile ricordarne dozzine che siano sicure ed univoche.

È bene, però, che quella password sia davvero buona. Scordatevi le lettere maiuscole, i simboli e i numeri. Il metodo più semplice per creare una password sicura è utilizzare una passphrase: una serie di parole scelte a caso che siano però pronunciabili — così da essere più semplici da memorizzare. Ad esempio: dadi colbacco deltoide landa lucia (non usate questa, l'abbiamo appena bruciata).

Una volta fatto questo potete utilizzare singole password formate da molti caratteri per tutto il resto, se le create con un password manager e non le riutilizzate per altro. La password principale è meglio che sia una passphrase perché è più semplice da memorizzare, cosa non necessaria per le altre, delle quali si occuperà il password manager.

Segui Motherboard su Facebook e Twitter.

Intuitivamente, potreste pensare che non sia saggio archiviare le password sul vostro computer o affidarle a un password manager esterno al vostro personale e costante controllo. E se un hacker riuscisse a metterci le mani? Non è meglio tenerle tutte a mente? Be’ non proprio: è molto più probabile che un truffatore riutilizzi una password rubata da qualche altra parte piuttosto che un hacker esperto decida autonomamente di prendere come bersaglio il vostro database di password. Per esempio, se aveste utilizzato la stessa password su molti siti e questa fosse stata rubata nel massiccio attacco a Yahoo! (che ha colpito 3 miliardi di persone), potrebbe venir facilmente riutilizzata per il vostro account Gmail, Uber, Facebook e su altri siti. Alcuni password manager archiviano le vostre password criptate nel cloud in modo che, anche se l'azienda dovesse subire un attacco hacker, rimarrebbero al sicuro. Ad esempio, il password manager LastPass è stato hackerato almeno due volte, ma nessuna password è mai stata rubata perché l'azienda le aveva archiviate al sicuro. LastPass rimane un password manager raccomandabile anche se è incorso in questi incidenti. Ma di nuovo, tutto sta nel valutare il proprio threat modeling.

Quindi, per favore, utilizzate uno dei tanti password manager disponibili, come 1Password, LastPass o KeePass. Non c'è ragione per non farlo. Farà sentire più tranquilli anche noi, e renderà la vostra vita più semplice.

E se il vostro capo vi chiede di cambiare periodicamente le password in nome della sicurezza, vi prego, ditegli che è un'idea terribile. Se utilizzate un password manager, l'autenticazione a due fattori e avete delle password sicure e univoche per ogni account, non c'è bisogno di cambiarle ogni volta — a meno che non sia stato violato il backend, o la vostra password sia stata in qualche modo rubata.