Qualche giorno fa mia moglie viene da me mostrandomi il telefono e tutta contenta mi dice:

Questi si che sono un sito serio, finalmente! Mi ero dimenticata la password e me l’hanno rimandata…mica come tutti quei maledetti che mi mandano una nuova password e poi un link e poi mi obbligano a cambiarla…

Sono inorridito. Potete immaginare.

Scherzi a parte, è ovvio che la gestione delle password per un utente “normale” è una rogna colossale. È altrettanto ovvio che gli utenti finiscano per riutilizzare le stesse password. Giorno dopo giorno.
Spiegarle quale fosse il problema di fondo è stato facile:

Immaginati di andare dal ferramenta per rifare una chiave e invece di portare tu l’originale sai che lui ha già una copia delle chiavi di casa nostra che conserva proprio per casi come questo. Ti piacerebbe?

Ovviamente no.

Usando la stessa analogia la domanda che mi faccio io è: sarei in grado di riprodurre una chiave senza avere una copia da cui partire? No, perché non conosco a memoria come è fatta, la chiave ha quella “memoria” non il sottoscritto e l’unica cosa di cui io mi preoccupo è conservare con cura le mie chiavi in un portachiavi.

Allo stesso modo io non ho nessun interesse a conoscere a memoria le mie password, se le devo conoscere a memoria finirò sicuramente per:

  • averle semplici
  • averle molto simili e/o uguali

Quindi?

Nel mio piccolo uso le seguenti tecniche:

  • Ovunque posso uso Single Sign On con Google Account o Microsoft Account (Facebook e Twitter? No grazie. Vi possono bannare e sono cazzi)
  • Dove non posso se non ho alternative e sono obbligato ad usare quel servizio uso un password manager, genero una password super complessa e la salvo nel password manager

A questo punto mi devo ricordare la sola password del password manager. Ovviamente il password manager diventa il punto debole della catena, e in cascata Google e Microsoft Account. La soluzione semplice è 2FA con un device (ad esempio il telefono) ma non con l’SMS.

Il telefono è protetto da PIN, uso Authy sul device per generare i codici 2FA, Authy a sua volta ha sia una password decisamente complessa che un PIN che non è lo stesso del telefono.

Accedere all’home banking, o a qualsiasi altro servizio importante, adesso è tanto complesso quanto entrare in casa: Apri il cancello, apri le due serrature della porta blindata. Però è più sicuro.

Mia moglie?

Continua a preferire le password in chiaro. Ha ragione lei ;-)