Le password: il problema non è ricordarle, è sceglierle
Ne avevo parlato già nel 2013, in un articolo sul generatore di password. Erano altri tempi: gli account online si contavano sulle dita di una mano, e il consiglio “usa caratteri maiuscoli, minuscoli e simboli” sembrava sufficiente. Oggi non basta più, e il motivo è semplice: il problema non è la complessità della password, è la quantità.
Quante password hai?
Prova a contarle. Email, home banking, gestionale aziendale, Amazon, il portale dell’Agenzia delle Entrate, il sito del commercialista, il pannello del sito web, lo SPID, la PEC. E poi le piattaforme di videoconferenza, il provider delle spedizioni, il gestionale del magazzino. Senza contare tutto quello che hai registrato negli anni e quasi non ricordi più.
La risposta media, quando lo chiedo ai miei clienti, è “tante”. Troppe per ricordarle tutte, e così si finisce per fare una delle cose più rischiose che esistano: usare la stessa password dappertutto, o quasi.
Perché la stessa password è un disastro
Immagina che un sito su cui sei registrato subisca una violazione dei dati (non è fantascienza: succede ogni settimana, da qualche parte nel mondo). Gli attaccanti ottengono il tuo indirizzo email e la tua password. Se quella password la usi anche per la tua email aziendale, per il gestionale, per il sito, hai appena consegnato le chiavi di casa.
Il problema non è che ti abbiano rubato le credenziali di un sito secondario. Il problema è il domino che può cadere di conseguenza.
La soluzione esiste, si chiama gestore di password
Un gestore di password è un programma (o un’app) che tiene in memoria tutte le tue credenziali, cifrate, protette da un’unica password principale (quella sì, da scegliere con cura e ricordare). Tu devi ricordarne una sola; lui si occupa delle altre centinaia.
I più diffusi e affidabili sono Bitwarden (gratuito e open source), 1Password e KeePass. Funzionano su PC, smartphone, tablet e si integrano con i browser più comuni: quando arrivi alla pagina di login, compilano i campi in automatico.
Lo so già cosa stai pensando: “e se qualcuno entra nel gestore?” È una preoccupazione legittima, ma considera l’alternativa: tutte le tue password scritte su un foglio, su un post-it, in un file Excel chiamato “password.xlsx” sul desktop. Quale delle due soluzioni ti sembra più sicura?
Come scegliere la password principale
Quella del gestore non si può dimenticare e non si può recuperare facilmente: merita attenzione. Evita la data di nascita, il nome del cane, il nome dell’azienda seguito da un numero. Funziona bene il sistema della passphrase: quattro o cinque parole casuali messe insieme, tipo “tavolo-bicicletta-agosto-finestra”. È lunga, è strana, è difficile da indovinare anche per un software, ed è relativamente facile da ricordare.
Cosa fare da subito
Se non usi ancora un gestore di password, il primo passo è iniziare a valutarne uno. Bitwarden ha una versione gratuita più che sufficiente per l’uso personale e professionale. Non ti chiedo di migrare tutto in un pomeriggio: inizia con gli account più critici (email, home banking, gestionale) e aggiungi gli altri man mano.
Se invece sei già organizzato ma hai il dubbio che qualche tua credenziale sia finita in giro a seguito di una violazione, puoi fare una verifica rapida su haveibeenpwned.com: inserisci il tuo indirizzo email e ti dice se compare in qualche archivio di dati rubati noti. È gratuito, è attendibile, e il risultato potrebbe sorprenderti.
Le indicazioni contenute in questo articolo sono valide al momento della pubblicazione. Il panorama della sicurezza informatica evolve rapidamente: per situazioni aziendali specifiche o se hai dubbi sugli strumenti da adottare, valuta un confronto con un professionista.