Password: quando, come, dove

Dott. Ric. Filippo Novario, Dottore di ricerca e già Docente a contratto per università nazionali ed internazionali di Informatica Giuridica e Forense; Senior Consultant per enti pubblici, privati ed enti di certificazione internazionale nei campi della Cybersecurity, Informatica Giuridica, Digital Forensics e Hacking; docente Ethos Academy.

Le credenziali d'autenticazione sono il fulcro delle moderne tecnologie connettive e di sicurezza, ma anche elemento di rischio: possono essere smarrite, sottratte e dimenticate. Tecnologie informatiche e procedure possono però renderne più semplice e sicuro l'utilizzo. Vediamo allora quando, come e dove utilizzarle in sicurezza. Partendo dal QUANDO.

Le password sono elementi essenziali per l'utilizzo di smartphone, procedure di pagamento online, carte bancomat, computer e tablet, device per la sicurezza fisica, etc. Il loro utilizzo è essenziale per la sicurezza delle infrastrutture informatiche, sotto il profilo hardware e software. L'uso di credenziali d'autenticazione può implicare lungaggini nell'applicazione pratica, a fronte di complessità di digitazione, sforzi mnemonici oppure perdita delle credenziali. Nonostante ciò, la loro presenza associata a tecnologie digitali-telematiche è imprescindibile, sempre. Il valore aggiunto di una password è assoluto e duplice: consente infatti l'accesso ai sistemi, e il loro utilizzo autorizzato; ed impedisce la fuga di dati archiviati digitalmente. Quest'ultimo profilo è fondamentale: tanto le credenziali consentono l'accesso ai sistemi quanto il loro smarrimento o dimenticanza esclude chiunque dall'accesso ai sistemi e ai dati ivi contenuti. Ciò non mitiga, d'altra parte, il rischio che le credenziali possano essere sottratte o intuite, per un loro utilizzo a fini illeciti. Sotto questo profilo, deve essere rispettato il seguente "mantra": meglio dimenticare una password per la sua complessità che ricordarsela per la sua facilità. Qualora dimenticate, infatti, le credenziali possono generalmente essere resettate. Nel caso in ci vengano sottratte, invece, l'accesso ai sistemi e la fuga di dati archiviati risulta inevitabile. Sviscerato dunque il “quando” utilizzare la password, è ora di conoscere il “come”. Perché le password possano infatti considerarsi sicure, in gergo tecnico "robuste" o "forti", devono presentare alcuni elementi.

COME

La creazione di una password non è attività banale: credenziali troppo semplici possono essere intuibili, come anche password troppo uniformi o legate al sistema presso cui debbono essere utilizzate. Il rispetto di alcune regole può però essere decisivo. Partiamo da cosa non è bene fare: meglio non utilizzare parole ovvie, ad esempio nome e/o cognome e/o dati anagrafici; meglio non utilizzare parole di senso compiuto o direttamente associabili allo username; meglio, infine, non utilizzare parole troppo brevi, presenti in dizionari, o loro anagrammi. Queste indicazioni mirano a scongiurarne la violazione delle password attraverso intuizione delle credenziali o attacchi cosiddetti di "forza bruta", disposti cioè attraverso programmi che compongono e inseriscono credenziali in modo casuale, o indicate in elenchi prestabiliti, sino all'individuazione della password corretta. Elenchiamo dunque cosa è bene fare: utilizzare credenziali complesse e di una lunghezza media superiore agli otto caratteri; utilizzare caratteri di tipo MAIUSCOLO e minuscolo; utilizzare caratteri alfanumerici; preferire l'utilizzo di simboli - ad esempio @#$%^& - e/o spazi tra i caratteri; conservare la password in un posto sicuro; sostituire le credenziali a cadenza almeno trimestrale; utilizzare password diverse per differenti servizi o device; non salvare nel browser web le credenziali, per scongiurarne la sottrazione via malware. Elaborare credenziali "sicure", secondo le linee guida prima esposte, può apparire semplice dal punto di vista teorico. Dal punto di vista pratico, però, i profili di creatività, rigidità, impersonalità e casualità, necessari per la creazione di password "forti", non sono agevoli da soddisfare. La tecnologia corre in aiuto, sotto il profilo della creazione e della conservazione delle credenziali digitali.

DOVE

La creazione, il salvataggio e la gestione di password sono facilitate, nonché rese durature e sicure, attraverso l'utilizzo di sistemi software e/o hardware: i cosiddetti Password Management Tool. Tra i programmi a disposizione, open source e proprietari, possono essere annoverati i seguenti: LastPass, Dashlane, KeePAss, 1Password, RoboForm (cfr. HYPERLINK "http:// lifehacker.com/"http://lifehacker.com). La creazione delle credenziali può avvenire attraverso l'inserimento di una password creata ad hoc dall'utente, oppure attraverso servizi forniti dal tool. Questi consentono di scegliere le caratteristiche tecniche della password - caratteri semplici, caratteri speciali, uso di spazi, caratteri alfanumerici, etc. - poi utilizzati per la sua creazione. La credenziale così creata può essere scelta, ri-creata oppure accettata in quanto frutto di un processo di creazione random, causale. Una volta creata la password, questa può essere ricopiata in luogo sicuro, anche in formato cartaceo, oppure conservata nel Password Manager. Questi è un archivio, repository, dove è possibile salvare le credenziali, inserite dall'utente o create attraverso il tool. Il salvataggio, automatico o manuale, inserisce le credenziali attraverso la compilazione di un'interfaccia recante gli elementi essenziali per l'utilizzo della password. L'archivio del Password Manager è crittografato. Questa peculiarità consente al solo possessore della password d'accesso all'archivio di accedervi e fruire dei dati, nonché di manipolarli. Qualora la credenziale d'accesso all'archivio sia persa o dimenticata, l'intero contenuto dell'archivio diviene inutilizzabile. Qualora la password sia sottratta, se il repository è nella disposizione "fisica" dell'utente, solo in sua presenza potrà essere fruito. Buona norma è anche conservare in formato cartaceo, in modo sicuro e duraturo, la credenziale d'accesso al Password Manager tool, nonché adottare profili di sicurezza "logica" e "fisica" per il device che consente l'utilizzo del tool. Una volta create, inserite e stoccate nel repository crittato, le password non sono statiche: possono essere manipolate, aggiornate, sostituite e cancellate. Le credenziali d'autenticazione sono elementi da maneggiare con cura: la loro cancellazione, manipolazione o alterazione, se confermata via interfaccia, è definitiva, con effetti correlati d'inutilizzabilità e perdita delle precedenti credenziali. È dunque buona prassi: 1) effettuare il backup del programma e del file crittato, repository che contiene le password; 2) utilizzare la modalità "read only", sola lettura, per accedere all'archivio e gestire le password, così da non poterle alterare. La gestione delle credenziali attraverso il tool è agevolata attraverso la possibilità di "copia-incolla" per username e password, così da poter disporre delle password senza lungaggini o passaggi troppo tecnici.

IN CONCLUSIONE

Password e Password Manager tool sono strumenti utili ad utenti, professionisti, system integrator, nonché aziende ICT e di prodotto, al fine di conferire sicurezza nella creazione, custodia e gestione delle credenziali per prodotti e servizi. Sicurezza che, data la diffusione delle tecnologie digitali e telematiche, deve sempre più essere sviluppata by design e by default.  

ESEMPI DI PASSWORD "SICURE"

hM-8\P4+go
<8ai<+8&iN
L+k^F$HN3a