Hacking password illustration

La domanda che in tanti si fanno è: come posso avere delle password sicure? ma soprattutto perché non devo mai riutilizzare la stessa password?

Abbiamo già accennato a come rendere efficace una password, e la risposta è una sola: 2FA.

La password sicura è quella che non conosco

Continuiamo ad utilizzare l’analogia chiavi di casa, conoscete la forma delle chiavi? Sapete a memoria come sono posizionati i denti? No, semplicemente vi affidate ad un portachiavi in cui conservate con cura le chiavi.

Allo stesso modo non ha nessun senso conoscere una password, non è la vostra memoria che rende una password sicura, è la complessità della password stessa che la rende sicura. Si potrebbe dire che più una password è facile da ricordare più è insicura (non è detto che sia così, ne parliamo più avanti).

Una password sicura è una password che non si ricicla

La seconda domanda che potrebbe sorgere spontanea è: perché non usare sempre la stessa chiave per tutte le serrature? Perché se qualcuno riesce ad aprire una serratura e sa che le serrature sono tutte uguali a questo punto ha completo accesso a tutto. Questa seconda cosa è fondamentale.

Supponiamo che usiate una password per accedere al vostro account di posta elettronica, e malauguratamente avete scelto la stessa password per WebTic, uno dei tanti sistemi di prenotazione di biglietti cinematografici. Molto bene e #ciaone.

image

Fonte: https://www.facebook.com/permalink.php?story_fbid=1635773449799972&id=185707458139919

WebTic dal vostro punto di vista è innocuo, quindi non date molto peso alla sicurezza. Qualcuno sfonda WebTic, recupera tutte le password e gli associati indirizzi e-mail e sapendo che gli utenti riciclano spesso la stessa password accede con facilità alla vostra casella di posta elettronica. A questo punto può probabilmente resettare quasi tutte le password di tutti i servizi che usate. Altro che #ciaone.

Quindi che si fa?

Che è poi la domanda che fa anche Gianluca:

image

La risposta è: usate un password manager. Ho detto un password manager non un foglio Excel.

Ho abbattuto completamente i rischi?

Sni, dipende :-) Un password manager deve ragionare in maniera abbastanza semplice:

  1. è una sorta di database in cui salvare credenziali
  2. i dati per forza devono essere salvati con un algoritmo reversibile
  3. l’algoritmo scelto deve essere di quelli molto solidi
  4. voi siete i depositari della master password, che a questo punto:
    1. è l’unica che vi serve conoscere
    2. può (e deve) essere molto lunga
    3. non necessariamente complicata
    4. deve essere complessa, ad esempio una frase di senso compiuto in cui fate qualche sostituzione: Qu3stoS1Ch3è1P@ssw0rdM@nag3r è più semplice da ricordare che O(&*^TY%36765t_)* *
  5. ha molto senso che l’algoritmo di crittografia sia molto lento per ridurre all’osso l’utilità degli attacchi basati su forza bruta
  6. anche sul password manager deve essere possibile attivare 2FA

Date tutte queste condizioni un ipotetico data breach nei sistemi del password manager è ovviamente preoccupante ma non catastrofico.

E se volessi essere paranoico?

Posso ovviamente scegliere di essere paranoico e soffrire un po’ di più ma avere una soluzione più sicura. Ci sono password manager che offrono l’opzione “salva le password in un file su disco e non su un server remoto”, fatto questo posso usare uno dei tanti tool per sincronizzare file in modalità peer-to-peer tra i miei device, in questo modo il file criptato non è mai su un server remoto. Infine abilito BitLocker e/o crittografie varie del file system sui device in modo che la perdita di un device non apre una falla di sicurezza. Come ultima spiaggia abilito anche remote wipe su tutti i device.

Cosa mi perdo? Principalmente l’integrazione con il browser di turno, che è indubbiamente comoda ma non di vitale importanza.