lunedì 16 giugno 2008

Alcuni consigli per la scelta della password

La scelta della password deve essere oculata e, una volta effettuata, la password scelta deve essere custodita con estrema cura e segretezza. Le password infatti sono molto spesso l’unica forma di autenticazione e quindi l’unica barriera tra l'utente e le proprie informazioni personali.
Ognuno di noi al giorno d’oggi è costretto a ricordarsi un’infinita quantità di numeri e di password: i codici PIN, il codice BANCOMAT… Ricordarle tutte è veramente difficile e per non correre il rischio di dimenticarne qualcuna, ecco che la gente si ingegna come può:molti usano password basate su informazioni personali e di conseguenza facili da ricordare (ad esempio, la data di nascita, oppure il numero di telefono). Alcuni hanno la simpatica abitudine di memorizzarle su postit che appiccicano al monitor d'ufficio. Altri utilizzano la stessa password per ogni cosa: l'accesso a internet, il bancomat, la posta elettronica...in modo da doversene ricordare una sola. Molti, per evitare di scordarsi qualche password, fanno degli schemini scritti contenenti le varie password e l'utilizzo a cui ciascuna è destinata: peccato che poi tale schemino viene regolarmente dimenticato sulla scrivania alla mercè di chiunque passi. Taluni alla scelta della password non dedicano neppure 30 secondi ritenendolo tempo perso: le loro password sono qwerty oppure 12345 oppure aaaaa ossia delle sequenze di tasti consecutivi sulla tastiera: pensate alla felicità del malintenzionato che vi sta spiando per carpirla: gli basta un colpo d'occhio per impossessarsene!
Su un punto è meglio mettersi l’anima in pace: qualunque password, per quanto ben congegnata, prima o poi viene violata. Esistono però alcuni accorgimenti che possono rendere una password più strong. Con il termine Strong password si indica una password che risulta essere difficilmente violabile. Affinchè la vostra password sia una Strong Password vi consiglio di tener presente i seguenti accorgimenti:
-Evitare le password legate a parole esistenti oppure dati personali (come ad esempio nomi propri, data o luogo di nascita, numeri di telefono ecc.), con la stessa cura con cui un vampiro eviterebbe una corona d'aglio. Sono prevedibili e spesso possono essere trovate nei “dizionari”!!
-Creare delle password lunghe e composte da caratteri, numeri e simboli. Una strong password deve essere almeno di 8 caratteri e contenere almeno una lettera maiuscola, una lettera minuscola, un numero ed un simbolo speciale. Gli attacchi con dizionari sono programmati per provare anche molte varianti delle parole di uso comune (ad esempio gatto, gAtto, gattO…), tuttavia l'uso di segni di punteggiatura oppure di simboli garantisce una robustezza molto più elevata.
-Cambiare spesso la password: se da un punto di vista pratico questa operazione può risultare scocciante perchè richiede uno sforzo mnemonico da parte dell'utente, dal punto di vista della sicurezza permette di mantenere elevato il livello di riservatezza.
-Scegliere una password che possa essere facilmente memorizzata senza essere scritta. Che senso ha creare una password complicatissima, se poi la si deve leggere perché impossibile da memorizzare?
-Evitare assolutamente di scrivere vicino alla password l'utilizzo a cui è destinata. Farlo avrebbe la stessa intelligenza del farsi mettere una porta blindata a casa ma lasciare la chiave nella toppa quando si esce
-Evitare di scegliere una password che sia facile da notare quando la si digita al computer: ad esempio la password “12345” oppure “qwerty” , che sono delle sequenze di tasti consecutivi sulla tastiera: basterebbe un semplice colpo d'occhio per carpirla
-Usare password differenti per l’accesso a sistemi differenti. Mai usare la stessa password per accedere a più sistemi. Immaginate cosa succederebbe se un hacker scoprisse che usate la stessa password per ogni cosa: in una volta sola avrebbe accesso a tutta la vostra vita: dal pin del cellulare a quello del bancomat passando per l'account di posta elettronica!
Per creare una Strong Password, che sia non solo robusta ma anche facile da ricordare, un trucco potrebbe consistere nell'utilizzare una frase di riferimento alla quale applicare un ragionamento conosciuto solo da noi per rendercela facilmente memorizzabile. Ad esempio, prendiamo la nostra frase famosa preferita: “Quel ramo del lago di Como, che volge a mezzogiorno”. Da essa estrapoliamo solo le consonanti delle parole che compongono la frase: otteniamo una stringa lunga più di 8 caratteri e senza senso compiuto ma abbastanza semplice da memorizzare, poiché associata ad una frase a noi familiare. A questo punto inseriamo dei segni di punteggiatura oppure dei numeri. Ad esempio, sostituiamo la parola 'mezzogiorno' col numero '12', sostituiamo le lettere 'l' con altrettanti numeri '1', aggiungiamo una virgola tra le due porzioni di frase e facciamo precedere e concludere la password con i simboli delle virgolette ("): in fondo si tratta pur sempre di una citazione di una frase famosa, no?.... Che la buonanima del Manzoni ci perdoni?! In questo modo si è ottenuta una password lunga, con lettere maiuscole, lettere minuscole, numeri e simboli. La password sarebbe:
“Q1rmd11gdCm,chv1g12”

Ora che avete scelto una password difficile da indovinare, accertatevi di conservarla in un posto sicuro lontano da occhi indiscreti. Che senso avrebbe creare una password difficilissima per poi
annotarla su un postit attaccato al monitor o su un foglietto lasciato incustodito sulla scrivania? La cosa migliore sarebbe evitare di scrivere le password. Se proprio indispensabile, evitare almeno di scriverle sulla porta del bagno dell'ufficio e in tutti gli altri luoghi di analoga riservatezza. Meglio se la lasciate custodita in un armadietto o cassetto con lucchetto. I browser hanno una funzione di memorizzazione della password: anche se potrebbe sembrarvi molto utile,
evitate di utilizzarla, in quanto non assicura la necessaria sicurezza.
E’ inoltre buona abitudine cancellare sempre i file temporanei di Internet Explorer ed effettuare l’operazione di Logout, specialmente quando usate computer pubblici (Internet Cafè) o usati da più utenti nello stesso ufficio.
E se perdiamo la password ?
Ci si potrebbe trovare nella situazione dove si venga a dimenticare la password. In caso di perdita/dimenticanza di password, sarebbe utile conservare la password protetta in qualche posto sicuro oppure escogitare una situazione logica che permetta di risalire alla password. A tal proposito, alcuni sistemi all’atto della definizione della password predispongono in anticipo anche una domanda e una risposta, in modo che quando è necessario verificare l’identità, basta dimostrare di conoscere la relativa risposta.Il punto debole di questo sistema è che le informazioni richieste potrebbero essere rintracciabili senza troppo sforzo. Un suggerimento potrebbe essere quello di fornire una risposta intenzionalmente errata, in modo che impossibile per chiunque risalire ad essa.