Un Anello per domarli, Un Anello per trovarli, un Anello per ghermirli e nel buio incatenarli…
Premessa
che si può saltare a piè pari…
Se solo si potesse fare a meno delle password! La biometrica potrebbe essere la soluzione, ma al momento la sicurezza connessa all'uso di apparecchi per la rilevazione delle impronte digitali e quant'altro sia a portata di tasca e comunque disponibile nei nostri device è del tutto insufficiente per proteggere le nostre informazioni.
Chiunque usi la rete si trova molto presto a dover gestire il login di molteplici siti, ciascuno dei quali richiede la registrazione e quindi poi l'autenticazione per l'accesso.
Ma non tutti i siti sono della medesima importanza, e molto genericamente li possiamo suddividere per categorie di rischio:
- Siti che offrono informazioni liberamente accessibili a tutti.
- Siti in cui inseriamo del contenuto.
- Siti che forniscono servizi a pagamento che non siamo autorizzati a fornire ad altri.
- Siti che forniscono servizi finanziari.
E' chiaro che è una super semplificazione, ma serve solo per ricordare che l'eventuale compromissione della sicurezza di una password produce effetti molto diversi a seconda del sito al quale è stata applicata. Chiaro che se si usa una sola password per tutto, allora si è proprio in cerca di guai. Ma anche l'uso di diverse password, una per ogni "livello di rischio", non è una buona idea. La cosa migliore è quella di avere una password diversa per ogni autentificazione, ma tenerle a memoria è pressoché impossibile.
Poi c'è la questione che riguarda il recupero delle password "dimenticate" (cosa che a me capita più di sovente, ed è il motivo della ricerca di una soluzione più efficiente e sicura, che mi porta alla scrittura di questo post).
Quasi sempre le password possono essere recuperate inserendo il proprio indirizzo di posta elettronica, a cui viene inviata una email con un link alla pagina web di reimpostazione della password.
E qui viene il punto critico: chi si impossessa della nostra email può fare dei danni mostruosi. Può richiedere la password di molti dei siti a cui siamo registrati, cambiare la password e fare il comodo suo a casa nostra.
Io per i siti di home banking non ho problemi (o almeno conto di essere mediamente sicuro) perché uso la chiavetta che genera la "one time password" e fino ad oggi per gli altri siti ho utilizzato una strategia a livelli, a secondo del rischio. Ma così facendo ho comunque troppe password da tenere a mente e spesso mi sbaglio quando torno dopo molto tempo su siti la cui appartenenza a uno dei livelli di rischio non è così evidente. E mi trovo così a dover spesso richiedere il cambio di password perché me la son dimenticata e non mi va di fare troppi tentativi.
Ma la cosa più sbagliata del mio metodo è che si dovrebbe usare una chiave diversa per ogni sito.
La gestione integrata delle password
Oggi ho chiesto consiglio ai miei amici, e dopo aver ascoltato i loro consigli ho deciso di utilizzare KeePass.
E' un programma gratuito per Windows Desktop che registra le nostre chiavi (Utente/Password) in un database criptato.
Per usarlo anche con Windows Phone è disponibile un programma a pagamento (0,99 €) che si chiama 7Pass.
L'uso di KeePass è banale ma molto piacevole.
In estrema sintesi:
Si crea un database (con una password bella lunga perché chi ha l'accesso al database accede a TUTTE le nostre password li registrate:
Da notare che 7Pass non è compatibile con l'uso del key file e/o il Windows User account
- Lo si salva su SkyDrive, in modo da poterlo aprire dai diversi device (compreso il Windows Phone via 7Pass).
Si crea una chiave, ad esempio per facebook, utilizzando il password generator per generare una chiave random:
- Si apre sul web la pagina di cambio password
- Ci si sposta sulla pagina di KeePass, si seleziona CTRL-V (che su KeePass esegue l'Auto-Type)
E come per magia si torna automaticamente sulla pagina web dove i campi Utente e Password vengono compilati da KeePass. Ove non sia possibile (ad esempio utilizzando 7Pass sul Windows Phone) basta fare copia e incolla.
- Stessa cosa per l'autenticazione.
Da adesso in poi, niente richieste di password dimenticata, almeno per me!