Le password sono un elemento fondamentale della nostra vita digitale, ma sono in pochi a trattare questo tema con l’attenzione che merita. Non è insolito imbattersi in utenti che utilizzano la stessa password per tutti i servizi o che hanno il loro anno di nascita come pin del telefono. In questo post ti spiegherò cos’è una buona password, come crearla e dove conservarla.

Quali sono le caratteristiche di una buona password?

La caratteristica principale di una password è l’unicità. Non puoi avere due password uguali, questa regola non ammette eccezioni. Utilizzare per due servizi diversi la stessa password compromette irrimediabilmente la sicurezza. Sfortunatamente i data breach sono sempre più comuni e molto spesso includono le password in chiaro. Se usi la stessa password per tutti gli account basta che venga compromesso un account e come un effetto domino cadranno tutti gli altri. So già a cosa stai pensando: “È impossibile utilizzare una password diversa per ogni servizio e ricordarsele tutte."; tranquillo c’è una soluzione, basta continuare con la lettura di questo post.

Un’altra caratteristica fondamentale per una password è la randomicità. Una buona password è casuale e non deve essere in alcun modo legata all’utente che la utilizza. Date di nascita, anniversari, nomi di animali domestici; tutte pessime idee. Ma tranquillo, la colpa non è tua, gli esseri umani sono una cattiva fonte di randomicità. È più forte di noi, non riusciamo a pensare a qualcosa di veramente casuale, ma anche in questo caso la soluzione esiste.

Infine una password deve essere lunga, ma tanto lunga. Tutto quello sotto i venticinque/trenta caratteri è da prendere e buttare nel cestino.

Probabilmente ti starai chiedendo: “Ma come, una password non deve essere complessa?". Beh la risposta è banalmente no. Imporre vincoli sulla presenza di numeri e/o caratteri speciali rende solo le password più difficili da ricordare e complicate da digitare. Inoltre obbligare l’utente ad includere determinate classi di caratteri va a ridurre anche lo spazio di ricerca1 e quindi rende la password meno casuale e più facile da indovinare. In altre parole una password complessa molto spesso è una password poco sicura.

Cos’è una passphrase?

La parola password deriva dai termini inglese pass (passare) e word (parola). Quindi volendo forzare una traduzione in italiano possiamo utilizzare il termine parola d’ordine. Nella sezione precedente abbiamo detto che una buona password deve essere lunga e quindi composta da almeno venti caratteri, ma difficilmente una parola è cosi lunga. Per questo motivo è più corretto parlare di passphrase e quindi di frase d’ordine. Una passphrase, quindi, è una sequenza di parole (casuali) generalmente separate da uno spazio o da un altro carattere non alfabetico.

I vantaggi dell’usare una passphrase al posto di una password sono molteplici:

  • Una passphrase è più facile da ricordare.
  • Una passphrase è più facile da digitare.
  • Con una passphrase diventa più difficile confondere due caratteri2.
  • Una passphrase ci costringe ad utilizzare un numero elevato di caratteri.

Non ti ho ancora convinto? Probabilmente questa vignetta di xkcd ti chiarirà ogni dubbio.

Non serve avere una memoria di ferro

Ok abbiamo capito che dobbiamo usare delle password lunghe e che il miglior modo per ottenerle è attraverso l’utilizzo di più parole casuali. Ipotizziamo anche di essere in grado di generare delle sequenze di parole casuali, magari aprendo in modo randomico un vocabolario. Bene, abbiamo risolto il problema password? Beh non proprio, dobbiamo ancora capire come memorizzare tutte queste passphrase.

Qui si aprono due strade:

  1. Sei un fottuto genio: hai una memoria di ferro e riesci a ricordare la passphrase utilizzata per ogni sito e servizio che usi. Che dirti, beato te. Hai già tutto quello che ti serve per cui puoi chiudere questo post e tornare a fare attività più divertenti.
  2. Sei una persona normale: non riesci a ricordare neanche ciò che hai mangiato per colazione, figurati centinaia di passphrase. Tranquillo sei in allegra compagnia, le persone come te (e come me) hanno bisogno di un password manager.

Un password manager è un software, o come va di moda ora, un’app che consente di memorizzare tutte le nostre password. Volendo utilizzare una metafora, un password manager è l’equivalente digitale di una cassaforte. All’interno di questa cassaforte saranno conservate tutte le nostre password e per aprirla sarà necessario inserire la master password ovvero l’unica password che dobbiamo imparare a memoria.

Lo so, probabilmente già stai utilizzando qualcosa di simile. Magari sei un tipo analogico e hai un quaderno o un’agenda con tutti i tuoi dati di accesso, oppure stai salvando digitalmente le password all’interno dell’app note del tuo smartphone. O magari sei un tipo creativo e hai salvato i pin delle tue carte come numeri telefonici all’interno della rubrica. Funziona? Si. È la scelta giusta? Assolutamente no, ti espone a moltissimi rischi3. Per carità sei assolutamente libero di avvitare una vite con un martello, ma almeno permettimi di presentarti il cacciavite.

Come scegliere un password manager

Iniziamo col dire che così come esistono tantissimi cacciaviti, ci sono anche molti password manager. Non esiste il password manager definitivo, ognuno ha pregi e difetti. Inoltre ognuno di noi ha esigenze diverse per cui quello che va bene per me non necessariamente deve andare bene anche per te. Detto questo vediamo le caratteristiche più importanti.

Locale o in cloud

La prima distinzione che possiamo fare è rispetto al luogo in cui vengono salvati i dati. Nel caso di password manager locali i dati sono salvati sul dispositivo che stiamo utilizzando. Questo vuol dire che se salvo una password sul mio pc questa in automatico non è visibile anche sul mio smartphone. La sincronizzazione dei dati tra più dispositivi deve essere svolta manualmente dall’utente, così come il backup delle credenziali. Mentre nel caso di soluzioni basate sul cloud questa sincronizzazione è trasparente all’utente ed è tutto più immediato. Sicuramente quest’ultima soluzione è più adatta agli utenti inesperti.

Per quanto detto sopra sembrerebbe che le soluzioni in cloud hanno solo vantaggi, ma non è così. Lo svantaggio riguarda il possesso dei dati. Nelle soluzioni locali sono in nostro possesso, mentre in quelle basate sul cloud sono nelle mani del fornitore del servizio. Questo non è necessariamente un problema, ma deve essere comunque preso in considerazione.

Crittografia E2E

La crittografia E2E è un altro parolone per indicare un concetto molto semplice. Oltre a me, ci sono altre persone che possono leggere le mie password? La risposta è no se il servizio che stiamo utilizzando utilizza la crittografia E2E, negli altri casi è si.

La presenza della crittografia E2E diventa particolarmente rilevante nel caso delle soluzioni basate sul cloud. Infatti, come detto precedentemente, nelle soluzioni basate sul cloud il fornitore ha accesso ai nostri dati, ma effettivamente cosa vede? Nel caso venga utilizzata la crittografia E2E vede solo una sequenza di simboli senza senso, nel caso in cui non venga utilizzata vede le nostre password in chiaro. Da ciò risulta evidente che si possono scegliere soluzioni basate sul cloud solo se queste sono cifrate E2E.

Licenza

La licenza di un software è quel documento che ci dice cosa possiamo fare e cosa no con quel software. Le licenze si dividono in due famiglie, licenze chiuse e licenze aperte. Le seconde ci consentono di accedere al codice sorgente, di vedere com’è fatto e nel caso modificarlo.

Lo so, stai pensando che non ci capisci niente di programmazione, e quindi non ti interessa avere accesso al codice sorgente. Il punto non è questo. Avere il codice aperto e accessibile è una questione di trasparenza il che ci da maggiori tutele e sicurezze. Quindi preferisci sempre soluzioni open source.

Il costo

Un fattore molto importante è anche il costo del servizio. In questo settore la soluzione che va per la maggiore è il modello freemium in abbonamento. Ovvero un software che mette a disposizioni le funzionalità di base in modo gratuito, ma per accedere alle funzionalità premium è necessario uno abbonamento mensile/annuale.

Bitwarden

Il password manager che ti consiglio, sopratutto se sei alle prime armi è Bitwarden. Questo servizio è open source, basato sul cloud, utilizza la cifratura E2E e propone un piano gratuito molto completo. Inoltre nel caso in cui il piano base dovesse andarti stretto è possibile eseguire l’upgrade al piano premium per meno di dieci euro all’anno.

La prima cosa da fare per poter utilizzare bitwarden è andare sul sito ufficiale e creare un account. In questa fase ti sarà richiesto di inserire la tua email e il tuo nome utente. Inoltre dovrai inserire anche la master password ovvero l’unica password da imparare a memoria.

ATTENZIONE: crittografia E2E vuol dire che senza la master password non è possibile accedere in alcun modo alla cassaforte. Questo vuol dire che non esiste nessuna funzione: “ho dimenticato la mia password”. Se dimentichi la tua master password non è possibile in alcun modo recuperare le altre password.

Una volta completata la procedura di registrazione è necessario scaricare l’applicazione per tutti i tuoi dispositivi. Bitwarden supporta praticamente tutti i sistemi operativi e i browser più utilizzati. Puoi visualizzare la lista completa delle app disponibili qui.

A questo punto dobbiamo iniziare a popolare la nostra cassaforte. A seconda del sistema operativo in uso la procedura può variare leggermente, ma in genere è possibile inserire un nuovo elemento attraverso il bottone blu con il simbolo più (+). Di seguito è riportato un esempio di aggiunta di credenziali attraverso l’app Android.

Aggiunta di una password tramite app Android

I campi da riempire sono:

  • Tipo: per inserire delle credenziali di accesso selezionare Login. Tra le altre tipologie supportate ci sono le note cifrate e la possibilità di aggiungere delle carte di credito/debito.
  • Nome: il nome del servizio, nella schermata di esempio Netflix.
  • Nome utente: il nome utente/l’email che utilizzi per accedere al servizio.
  • Password: qui va inserita la password utilizzata per l’accesso.
  • Uri: l’indirizzo del sito web che fornisce il servizio.

Inoltre, premendo sulle due frecce che formano un cerchio nel campo password è possibile aprire la schermata per la generazione di una password. In questo caso è possibile generare sia delle passphrase sia delle password classiche andando a variare il campo tipo. Nel caso di passphrase la lunghezza viene valutata in termini di parole, mentre nel caso delle password in carattere. In entrambi i casi è possibile forzare la presenza di numeri, maiuscole e caratteri speciali.

Generazione di una nuova passphrase

Ok ora sei pronto per utilizzare Bitwarden e rendere più semplice e sicura la tua vita digitale, ma anche quella fisica.

Single point of failure

Un’ultima nota prima di lasciarci. L’utilizzo di un password manager introduce quello che in informatica viene definito un single point of failure. Questo vuol dire che se un malintenzionato riesce ad accedere al nostro password manager ha anche accesso a tutte le nostre password. Per questo motivo è fondamentale utilizzare una master password molto robusta. Questo vuol dire utilizzare una passphrase composta da molte parole (7+) che non sono legate tra di loro. Inoltre è un ottima idea utilizzare l’autenticazione a due fattori4 almeno per i servizi che ritieni critici e per l’accesso a Bitwarden stesso.

Pro user

Sei un utente esperto e vuoi provare qualcosa di nuovo? Bene ecco due esperimenti per te.

  1. Self-hosting di Bitwarden Bitwarden può essere anche self-hostato in modo da riprendere il controllo dei propri dati (cifrati). Se vuoi procedere ti consiglio di dare un’occhiata al progetto vaultwarden, ma fai attenzione, in questo caso la sicurezza dei dati e il loro backup è nelle tue mani.
  2. Password manager locali Ci sono diversi password manager locali, pass è uno di questi.

  1. Questo è un concetto più semplice di quanto possa sembrare. Ipotizziamo di avere un lucchetto a combinazione con due cifre comprese tra zero e nove. Un lucchetto del genere può assumere un valore qualsiasi compreso tra 00 e 99. Quindi, un malintenzionato, per poter conoscere la password con certezza dovrà provare tutte e cento le combinazioni. Adesso ipotizziamo che esista una versione plus di questo lucchetto. Questa nuova versione sembra essere più sicura della precedente, infatti rende impossibile utilizzare una combinazione composta da due cifre uguali. Per esempio la combinazione 55 è valida per il primo lucchetto, ma non per la versione plus. Un malintenzionato per poter aprire questo nuovo lucchetto dovrà eseguire al più novanta tentativi perché già sa che 00, 11, 22 ecc. sono ingressi non validi. Quindi la versione plus sotto sotto è una versione minus. ↩︎

  2. Ti è mai capitato di confondere la i maiuscola (I) con la l minuscola (l)? Oppure di confondere la o con lo zero? ↩︎

  3. Le soluzioni citate precedentemente, generalmente, non permettono di eseguire dei backup è quindi si rischia di chiudersi fuori. Inoltre le password conservate su un’agenda o nell’app note non sono cifrate per cui chiunque abbia accesso al dispositivo può leggere le vostre credenziali. ↩︎

  4. Per autenticazione a due fattori, spesso abbreviata in 2FA, si intende un un processo di accesso basato su due fattori. Il primo fattore è generalmente la password, mentre il secondo è in genere un codice numerico utilizzabile un’unica volta. Sicuramente hai utilizzato un meccanismo di 2FA per accedere alla tua web bank. ↩︎