La giornata mondiale delle password
Hacker’s Dictionary. Visto che ogni anno aumenta il numero di databreach, violazioni massive di dati, password comprese, che generano furti di identità e parecchi mal di testa, forse ha senso celebrarla ricordando come si crea una password sicura
di ARTURO DI CORINTO per Il Manifesto del 7 Maggio 2020
Il World Password Day, la Giornata mondiale della password, si celebra ogni primo giovedì del mese di maggio e quest’anno cade oggi. La ricorrenza, che nasce dall’idea di un ricercatore di cybersecurity, Mark Burnett, ha assunto un carattere mondiale da quando la Intel nel 2013 ha cominciato a sostenerla nell’ambito delle proprie iniziative sulla sicurezza.
Visto che ogni anno aumenta il numero di databreach, violazioni massive di dati, password comprese, che generano furti di identità e parecchi mal di testa, forse ha senso celebrarla ricordando come si crea una password sicura.
Ormai dovremmo saperlo tutti. O no? Ripassiamo insieme? Una password affidabile è composta di almeno otto caratteri, meglio di più, contiene lettere maiuscole, lettere minuscole, numeri e segni speciali come la punteggiatura, il simbolo del dollaro, eccetera. Una password affidabile non ha niente a che fare con le date significative della nostra vita, col nome del gatto, la squadra del cuore.
Non deve avere senso compiuto. Per questo, laddove possibile, è utile scegliere una password autogenerata dal sistema a cui ci si «logga».
Molto utile è la 2FA, l’autenticazione a due fattori che aumenta le probabilità che siamo veramente noi ad accedere al sistema e funziona attraverso l’invio di una seconda password (One Time Password) su un dispositivo magari diverso da quello che stiamo usando per accedere. Ad esempio via sms o grazie ad una apposita app (come Google Authenticator).
Anche se una password è ben costruita, e ci fa sentire sicuri, non può essere uguale a se stessa per ogni servizio cui accediamo. Se è la stessa per Facebook, Instagram, Yahoo, Google drive, TikTok, Youtube, si corre il rischio che una volta persa non si riesca ad accedere ai loro siti, oppure se viene rubata rischia di compromettere ciascuna delle nostre attività online: è il famigerato fenomeno del password reuse.
Perciò, siccome ognuno di noi ne ha almeno nove, per ricordarle tutte possiamo usare un password manager, una sorta di cassaforte digitale che apriamo con una sola password complessa, la master key, e il forziere magicamente ci aprirà tutte le altre porte.
Perché scrivere di questa banalità di dover cambiare la password? Perché ancora oggi le password più usate in Italia sono ‘123456’, ‘password’ e ‘cambiami’. Siccome le violazioni di password rischiano di rendere vulnerabili milioni di cittadini nel loro ruolo consumatori e risparmiatori, beh, forse è il caso di farlo.
E poi, perfino i nostri servizi segreti all’indomani dell’attacco alle 500 mila Pec di notai, avvocati, magistrati e funzionari statali, hanno consigliato per prima cosa di cambiar la password. La prima linea di difesa contro gli hacker malvagi.
Un’altra soluzione è quella di usare la biometria di occhi, volto e pollice per sbloccare i nostri dispositivi. In effetti ogni giorno mezzo miliardo di utenti lo fa 10 miliardi di volte.
Ma attenzione, anche il rilevamento biometrico può essere gabbato con la riproduzione in materiali speciali dell’impronta digitale, con fotografie ad alta definizione e altri trucchi.
Per questo c’è chi propone di usare l’intelligenza artificiale o software speciali per rilevare l’impronta digitale del dispositivo – tipologia, memoria, posizione e indirizzo IP -, affinché gli utenti bancari o di e-commerce possano autenticarsi via app ogni volta che usano il singolo servizio.
La password così non è più necessaria, visto che il sistema utilizza l’analisi del rischio per autenticare l’utente. Se però hai paura di perdere il telefono, torna all’inizio dell’articolo.