In un precedente articolo ho illustrato un errore che facciamo molto spesso: quello di utilizzare le stesse password per siti ed account differenti. Questa scelta, assolutamente sbagliata e pericolosa, è dettata dalla pigrizia (si cerca di fare sempre le cose con il minimo sforzo...), ma anche dall'oggettiva difficoltà di ricordate MOLTE password diverse (e possibilmente abbastanza complesse). Purtroppo una password "comoda" non è mai una password sicura.
Se - come giustamente sostiene il guru australiano della Cybersecurity Troy Hunt - "l’unica password sicura è quella che non si può ricordare", qual è il modo più comodo e sicuro per gestire le proprie passwords? In altre parole: qual è il miglior punto d'incontro tra praticità e sicurezza?
Le soluzione che vengono suggerite (da esperti più o meno affidabili...) sono tante e spesso "fantasiose": dall'utilizzare password derivanti dalla manipolazione di testi (per esempio poesie), all'uso di una stessa parola di base con l'aggiunta di una personalizzazione diversa per ciascun account. Sono metodi in parte comodi, ma che diventano difficilmente utilizzabili con l'aumentare del numero di password da ricordare. Nella mia personale esperienza, mi sono trovato ad avere oltre cento account da gestire (cloud, social network, account email, internet banking, reti Wi-fi, ecc.) e mi sono immediatamente reso conto dell'impossibilità di ricordare un numero così alto di credenziali d'accesso.
Ma una soluzione esiste e - come sempre - è la più semplice: non cerco neppure più di ricordarmi tante password, piuttosto mi affido ad uno strumento che lo faccia per me. La soluzione che uso da anni e che consiglio anche durante i miei corsi di formazione è semplicemente questa:
Usare un PASSWORD MANAGER
Sembra essere "l'uovo di Colombo" (e chi la prova se ne rende conto!), ma in realtà è una soluzione da pochi conosciuta (secondo uno studio di Kaspersky, solo il 7% delle persone ne fanno uso).
COSA SONO i PASSWORD MANAGER: sono programmi (per computer) ed Applicazioni (per smartphone e tablet) che archiviano in modo sicuro e crittografato le credenziali di accesso ai servizi web in una sorta di cassaforte (VAULT) virtuale, rendendola disponibile all'utente quando ne avrà bisogno.
I migliori Password Manager sono “multipiattaforma”: disponibili cioè per i sistemi Mac, Windows, iOS ed Android. Questo permette di sincronizzare attraverso il Cloud (per esempio Dropbox) le password su ogni dispositivo su cui sono installati (computer, laptop o smartphone che sia). Così se salveremo una password sul password manager dello smartphone, ce la ritroveremo automaticamente anche nel password manager del computer e viceversa. Questa possibilità di sincronizzazione via Cloud è una funzionalità in più, ma non è obbligatoria: se preferiamo non usare il Cloud (perché non ci fidiamo), potremo salvare le password solo sui nostri dispositivi, perdendo però la comodità di sincronizzarle. Sono protetti da una MASTER PASSWORD, che diventa perciò l’UNICA password che occorre ricordare per accedervi. Quindi quest'unica password da ricordare potrà essere ragionevolmente complessa, perchè dobbiamo ricordare solo quella!
I VANTAGGI:
- L’UNICA password che occorre ricordare è la MASTER PASSWORD per aprirli.
- Per ciascuna account si possono memorizzare molti altri dati: username, password, dati delle carte di credito, date di scadenza, note e molti altri dati. Nei prodotti migliori c'è una gamma di personalizzazioni pressoché illimitata.
- I dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit (Advanced Encryption Standard), una crittografia utilizzata dalla NSA (National Security Agency) per proteggere i documenti TOP SECRET.
- Proteggono dai Keylogger.
- Hanno la capacità di generare automaticamente password sicure e complesse.
- Hanno un sistema intelligente di riempimento automatico dei moduli nei siti web (non occorre perciò fare “copia/incolla” delle password). Chi, dopo aver visto questo tool durante i miei corsi, ha scelto di provarlo, è rimasto sorpreso dalla semplicità e comodità di utilizzo.
GLI SVANTAGGI:
I migliori PM sono affidabili e facili da usare. L’unico vero, serio inconveniente è: SE DIMENTICHIAMO LA MASTER PASSWORD. A differenza degli altri account, non sarà possibile cliccare sul solito pulsante “Recupera password” per recuperare la chiave d'accesso! PROPRIO PER RAGIONI DI SICUREZZA NON HANNO PROCEDURE DI RECUPERO DELLA MASTER PASSWORD DIMENTICATA (tranne qualche eccezione, che sconsiglio di usare).
IL MIO CONSIGLIO:
Sono innumerevoli i Password Manager disponibili, sia gratuiti che a pagamento. Consiglio comunque di scegliere prodotti conosciuti e realizzati da aziende serie. Ne elenco alcuni, tra i più noti:
- LastPass,
- Dashlane,
- Kaspersky Password Manager,
- KeePass (l'unico totalmente gratuito, perchè open source),
- Keeper,
- oneSafe.
Il mio consiglio è di utilizzare quello che è riconosciuto come uno dei migliori a livello mondiale (in questo caso il mio personalissimo parere coincide con quello del ben più famoso Troy Hunt!). Vi invito perciò a provare:
- Realizzato dalla canadese AgileBits ha tutte le funzionalità richieste per un PM, perfettamente integrate con i principali browser (attraverso apposite "estensioni");
- Ha versioni per Mac, Windows, iOS ed Android (non per Windows Phone, nè Blackberry, ma questi sistemi sono ormai stati abbandonati da quasi tutti gli sviluppatori).
- ha un elevato grado di sicurezza (AES 256 bits) e “slow hash” con algoritmo di derivazione della chiave PBKDF2 (Password Based Key Derivation Function 2);
- può sincronizzare i dati (le “Casseforti”) tra i differenti dispositivi attraverso il cloud;
- supporta “one-time passwords (OTP)” utile per gli account che richiedono l’autenticazione a due fattori;
- Offre soluzioni d'acquisto sia "on-premise" che in abbonamento a canone mensile;
- dispone di un efficiente servizio di supporto ed un Blog (AgileBits Blog) che dà rapide ed esaurienti risposte agli utilizzatori.
Provatelo! E scoprirete con sorpresa quanto sia facile e veloce gestire password incredibilmente complesse e quindi assai sicure!
A cura di Giorgio Sbaraglia
Consulente e formatore in Sicurezza Informatica
www.giorgiosbaraglia.it