Come creare una strategia efficace per la gestione sicura delle password

La realtà dei fatti

Riusare le password è una pratica di sicurezza eccezionalmente negativa. Se un cattivo attore riceve una password che hai riutilizzato su più servizi, può accedere a molti dei tuoi account. Questo è il motivo per cui avere password multiple, forti e uniche è così importante.

Creazione di password complesse tramite un password manager

Fortunatamente, per questo scopo un gestore di password può aiutare. Un gestore password è uno strumento software che crea e memorizza le password per te, in modo da poter utilizzare molte password diverse su diversi siti e servizi senza doverli memorizzare. 

Di seguito alcune caratteristiche dei gestori di password:

• generare password sicure improbabili da indovinare ad un essere umano;

• memorizzare diverse password in modo sicuro;

• memorizzare le risposte alle domande di sicurezza in modo sicuro; 

• proteggere tutte le password con una sola password principale (o passphrase)

KeePassXC è un esempio di gestore di password che è open-source e gratuito. 

Puoi completare la lettura dell'articolo oppure puoi iniziare subito ad utilizzare KeePassXC seguendo passo-passo le istruzioni dalla nostra guida su come Utilizzare KeePassXC.  

NOTA BENE: È possibile mantenere questo strumento sul desktop o integrarlo nel browser web. KeePassXC non salva automaticamente le modifiche che apporti quando lo usi, quindi nel caso si bloccasse dopo aver aggiunto alcune password, è anche possibile perderle per sempre. Questo comportamento puoi comunque cambiarlo nelle sue impostazioni.

Ti chiedi se un gestore di password è lo strumento giusto per te? Se un avversario potente come un governo ti sta prendendo di mira, potrebbe comunque non esserlo.

E' necessario ed opportuno ricordare:

• l'utilizzo di un gestore di password crea un singolo punto in cui si concentra tutto il pericolo: la password principale;

• i gestori di password sono un obiettivo ovvio e ambito per gli avversari;

• la ricerca suggerisce che molti gestori di password hanno delle vulnerabilità.

Se sei preoccupato dalle notizie che senti nei media e sui social riguardanti gli attacchi informatici di cui quasi quotidianamente vengono riportati i costi, considera qualcosa di più a bassa-tecnologia (low-tech). Puoi creare password forti manualmente (vedi l'articolo "Creare password sicure usando i dadi"), puoi scriverle e tenerle in un posto sicuro sulla tua persona per esempio.

Aspetta un attimo, ma non dovremmo tenere le password nelle nostre teste e non scriverle mai? In realtà, in alcuni casi potrebbe essere utile scriverle e tenerle da qualche parte in un luogo sicuro e controllato, come lo potrebbe essere il tuo portafoglio. Questa pratica ti permetterà di sapere abbastanza immediatamente se le tue password siano scomparse o siano state rubate.

Creazione di password complesse tramite I dadi

Ci sono alcune password che dovresti memorizzare e che devono essere particolarmente forti. Queste includono:

• password per il tuo dispositivo;

• password per la crittografia (come la crittografia del disco intero);

• la password principale o "passphrase", utilizzata per proteggere il tuo gestore di password;

• la tua password della posta elettronica (e-mail);

Una delle molte difficoltà in cui le persone incorrono quando devono scegliere la password è quella che generalmente le persone non sono molto brave a fare scelte casuali e imprevedibili.

Un modo efficace per creare una password forte e memorabile è quella di usare dei dadi e un elenco di parole per scegliere a caso le parole. Insieme, queste parole formano la tua "passphrase". Una "passphrase" è un tipo di password che è più lunga, fornendo di conseguenza una maggiore sicurezza. Per la crittografia del disco e il tuo gestore di password, ti consigliamo di selezionare un minimo di sei parole.

Perché usare un minimo di sei parole? Perché usare i dadi per scegliere a caso le parole in una frase? Più lunga e casuale è la password, più difficile è il compito di indovinare questa password sia per i computer che per gli umani. Per scoprire perché hai bisogno di una password così lunga e difficile da indovinare puoi leggere l'articolo Creare una password sicura con i dadi.

Se il tuo computer o dispositivo viene compromesso: per esempio viene installato uno spyware, questo può vederti digitare la tua password principale e potrebbe rubare il contenuto di Gestione password. Quindi è ancora molto importante mantenere il tuo computer e altri dispositivi puliti dal malware quando si utilizza un gestore di password.

Due parole sulle "Domande di sicurezza" per il recupero password

Fai attenzione alle "domande di sicurezza" che i siti Web utilizzano per confermare la tua identità. Le risposte oneste a queste domande sono spesso fatti pubblicamente rilevabili che un determinato avversario può facilmente trovare e usare per bypassare la tua password interamente.

Invece, è opportuno dare risposte false o di fantasia che nessuno conosce a parte te. Ad esempio, se la domanda di sicurezza chiede: "Qual era il nome del tuo primo animale domestico?"

La tua risposta potrebbe essere una password casuale generata dal tuo gestore di password. Puoi memorizzare queste risposte fittizie nel tuo gestore di password.

Pensa ai siti in cui hai utilizzato domande sulla sicurezza e valuta la possibilità di modificare le tue risposte. Non utilizzare le stesse password o risposte alle domande di sicurezza per più account su diversi siti Web o servizi.

Sincronizzazione delle password su più dispositivi

Molti gestori di password ti consentono di accedere alle tue password attraverso più dispositivi attraverso una funzione di sincronizzazione delle password. Ciò significa che quando sincronizzi il tuo file di password su un dispositivo, lo aggiornerà su tutti i tuoi dispositivi.

I gestori di password possono memorizzare le password nel "Cloud", ovvero memorizzare le password crittografate su un server remoto. Quando hai bisogno delle tue password, questi gestori recuperano e decodificano le password automaticamente. I gestori di password che utilizzano i propri server per archiviare o aiutare a sincronizzare le password sono più convenienti, ma leggermente più vulnerabili agli attacchi. Se le tue password sono memorizzate sia sul tuo computer che nel Cloud, un utente malintenzionato non ha bisogno di prendere il controllo del tuo computer per trovare le tue password. Infatti potranno rompere la sicurezza della passphrase del tuo gestore di password.

In questo caso, un'altra opzione disponibile è quella di non sincronizzare le password con il Cloud e scegliere invece di memorizzarle solo su determinati dispositivi (possibilmente sicuri).

Tieni un backup del tuo database delle password per ogni evenienza. Avere un backup è utile se si perde il database delle password in caso di arresto anomalo del software del gestore delle password oppure se il dispositivo viene portato via. I gestori di password di solito hanno un modo per creare un file di backup, oppure puoi usare il tuo normale programma di backup.

Autenticazione a più fattori e password unidirezionale

Le password solide e uniche rendono molto difficile ai i cattivi attori accedere ai tuoi account. Per proteggere ulteriormente i tuoi account, attiva l'autenticazione a due fattori .

Alcuni servizi offrono l'autenticazione a due fattori (detta anche 2FA (Two Factor Authentication), autenticazione a più fattori o verifica in due passaggi), che richiede agli utenti di possedere due componenti (una password e un secondo fattore) per accedere al proprio account. Il secondo fattore potrebbe essere un codice segreto unico o un numero generato da un programma in esecuzione su un dispositivo mobile.

L'autenticazione a due fattori utilizzando un telefono cellulare può essere eseguita in due modi:

• il telefono può eseguire un'applicazione di autenticazione che genera codici di sicurezza (come Google Authenticator o Authy) oppure è possibile utilizzare un dispositivo hardware stand-alone (come un YubiKey); o

• il servizio può inviare un messaggio di testo SMS con un ulteriore codice di sicurezza che è necessario digitare ogni volta che si accede.

Se si ha una scelta, selezionare l'applicazione di autenticazione o dispositivo hardware stand-alone invece di ricevere i codici tramite messaggio di testo. È più semplice per un utente malintenzionato reindirizzare questi codici sul proprio telefono piuttosto che ignorare l'autenticatore.

Alcuni servizi, come Google, consentono anche di generare un elenco di password monouso, chiamate anche password monouso. Queste sono pensate per essere stampati o scritti su carta e portati con voi. Ognuna di queste password funziona solo una volta, quindi se una di esse viene rubata da spyware quando la inserisci, il ladro non sarà in grado di usarla per qualcosa in futuro.

Se tu o la tua organizzazione gestite la vostra infrastruttura di comunicazione, c'è software gratuito disponibile che può essere utilizzato per abilitare l'autenticazione a due fattori per l'accesso ai propri sistemi. Per trovarlo prova a cercare nel motore di ricerca, software che offra implementazioni dello standard aperto "password temporali basate sul tempo" o RFC 6238 .

A volte, devi rivelare la tua password

Le leggi sulla rivelazione delle password differiscono da un posto all'altro. In alcune giurisdizioni potresti essere in grado di contestare legalmente una richiesta fatta da terzi per conoscere la tua password mentre in altri, le leggi locali consentono al governo di chiederne la divulgazione e persino essere imprigionarti in base al sospetto che potresti conoscere una password o una chiave. Minacce di danno fisico possono essere utilizzate per costringere qualcuno a rinunciare alla propria password. Oppure potresti trovarti in una situazione, ad esempio attraversando un confine, dove le autorità possono ritardare o sequestrare i tuoi dispositivi se rifiuti di rinunciare a una password o eventualmente di sbloccare il dispositivo.

Esistono guide specifiche per attraversare i confini di stato, che forniscono consigli su come gestire le richieste di accesso ai dispositivi durante il viaggio da o verso questi confini di stato. In altre situazioni, dovresti pensare a come qualcuno potrebbe costringere te o altri a rinunciare alle tue password e quali sarebbero le conseguenze.