Voglio prendere il titolo dell’articolo pubblicato a marzo di quest’anno da Hive Systems perché oggi più che mai continuo a incontrare ostilità o parzialmente giustificabili difficoltà nell’adozione dei password manager tra utenti e conoscenti che reputano un alleato una scocciatura, una perdita di tempo, un ulteriore strato di sicurezza senza il quale “si campa ugualmente“.
Chiariamoci: nulla che possa essere contraddetto in maniera secca senza dare uno stralcio di giustificazione, ed è proprio quello di cui vorrei a parlare oggi, in una serie di righe che ho buttato giù di getto, per provare a comprendere cosa ti ferma dall’adottare un software (spesso un servizio fornito da terzi quando l’esperienza o il tempo a disposizione scarseggiano) che può realmente risolvere la bega del doversi ricordare uno, dieci, cento accessi ad altrettanti account.
Are Your Passwords in the Green?
Hai il tuo account di WhatsApp per partecipare alla chat di gruppo tra amici, quella di classe di tuo figlio o del tuo gruppo studentesco (non ti auguro quella con i parenti o con altri elementi che solitamente fatichi a sopportare nella quotidianità, vorrebbe dirsi farsi volutamente del male gratuito), forse a quell’account è legata la tua identità su Facebook e pure su Instagram, perché “non vuoi proprio perderti nulla“. Poi inizia ad aggiungere: l’area privata del tuo account di gioco, quella della Nespresso, Twitter, l’area privata del tuo comune di residenza, la banca e chissà quanti altri.
Spesso, pur essendo tu uno che “con il digitale non ha nulla a che fare“, inevitabilmente ti dovrai rapportare con pochi (ma mai quanti ne vorresti tu) account di accesso a servizi senza i quali non puoi più rapportarti con il mondo che ti circonda. Ognuno di questi ti chiede di rispettare una complessità minima (alcuni andrebbero linciati perché ignorano i più banali e ormai assodati standard di sicurezza, ma quello è altro discorso che meriterebbe un approfondimento tutto suo) che ti porterà quasi certamente a un comportamento assolutamente prevedibile, previsto, attaccabile: uso la stessa password per tutto, magari modifico solo l’ultima parte. Niente di più sbagliato.
Quindi, la tua password si trova nel verde? Domanda lecita che può trovare risposta dando una sbirciata alla tabella pubblicata proprio da Hive: quanto tempo si impiega a forzare una password nel 2022? Considera che la tabella fa riferimento ad analisi che portano data di pubblicazione marzo scorso. L’appuntamento con l’articolo aggiornato di Hive Systems si rinnova di anno in anno e non resta che aspettare la pubblicazione del 2023, ma analizzando quanto reso noto negli scorsi anni (e anche nel 2022) non è difficile pensare che queste cifre subiranno “sensibili” modifiche che tendenzialmente vedono in posizione di svantaggio l’utente finale e i suoi accessi.
Voglio provare a mettere un paio di paletti che sono per me mantra ormai da diversi anni:
- una password robusta, che comprende un numero sufficiente di caratteri, lettere maiuscole e minuscole, numeri e simboli, ideata e utilizzata per un unico servizio / account è una password più che valida, almeno fino a quando questa non verrà forzata per chissà quale motivo o screzio avuto con qualcuno evidentemente bravo e con tempo libero a disposizione (o soldi per farlo fare da terza parte), o magari pescata a strascico da uno di quegli attacchi un po’ più ad ampio spettro notificati puntualmente da progetti indipendenti come HIBP e/o Firefox Monitor (che tanto il database sempre quello è).
- Una password che riporta al suo interno una frase di senso compiuto, magari composta in maniera tale che solo tu possa ricordarti (e perché no, riderci pure sopra) da quale evento è nata è anch’essa per definizione una password valida. Questo perché – quasi certamente – conterrà segni di punteggiatura, spazi, lettere maiuscole, minuscole e magari anche un numero (una data?). Facile pure che superi un numero di caratteri minimo in maniera importante. “Famose a capì” (come direbbero a Roma):
Il cavallo bianco di Napoleone è bianco!è quella che io intendo per password valida (e non solo io, te lo assicuro), nonostante si possa ulteriormente allungare e tenendo conto che al suo interno v’è una ripetizione (bianco):
A questo punto è facile arrivare a una conclusione: se un password manager è in grado di creare password complesse sulla base di una tua direttiva, ricordandole poi al posto tuo, perché affidarsi alla memoria o – peggio – al taccuino che non hai potuto fare a meno di comprare su Amazon o in libreria perché “dovevi averlo per forza” (e con taccuino intendo qualunque di quelli proposti in una ricerca di questo tipo: amzn.to/3fhke8K, seppur sia parzialmente meglio del Post-it attaccato al monitor o lasciato sotto la tastiera)?
È esattamente il punto che mi sfugge. Non siamo più negli anni ’90 quando questa cosa non era ancora stata partorita tra immaginari punti chiave di una corretta esistenza sulla rete, e neppure nel 2010 quando qualcuno già utilizzava da tempo programmi come KeePass (eccomi!) in mezzo a una moltitudine di persone che ti guardava come tu fossi figlio di belzebù alla ricerca di complicazioni della vita a basso costo. Ci si evolve, e insieme a te si evolvono anche coloro che – come ti dicevo prima – quel tempo a disposizione ce l’hanno e lo investono nel modo che loro ritengono più opportuno, con o senza uno scopo preciso, dove in ogni caso la vittima sacrificale è l’ignaro utente del quale verranno venduti account e dati sensibili, non credo di doverti tirare fuori degli esempi se sei solito frequentare un minimo il Web e leggere (sigh) anche le testate giornalistiche mainstream (con tutta la loro caterva puntuale di errori e generalizzazioni al chilogrammo).
E allora che faccio?
E allora la domanda resta sempre quella: in che posizione di quella tabella si trova la tua password? E tutte le altre (ammesso esistano)? In base alla risposta, credo sia il caso di dare un’occhiata a un Password Manager che possa darti una mano a tenere traccia dei tuoi account e dei servizi ai quali hai accesso, generando una password nuova per ciascuno di questi e – fallo ti prego – magari anche il codice per l’autenticazione a doppio fattore.
Io personalmente sono partito con il conoscere e utilizzare KeePass (e altre applicazioni nate direttamente da una costola o fortemente ispirate a esso quando mi serviva portare il database accessi su macOS oltre che Windows, o su Android e iOS), approdando poi su EnPass dopo averlo provato a lungo e aver effettuato una migrazione neanche tanto difficile, che mi ha consentito di guadagnarne in semplicità d’accesso / uso quando si parlava di cambio dispositivo / sistema operativo (avevo EnPass anche su macOS, Android e iOS oltre che la macchina Windows di lavoro principale).
Oggi sono cliente 1Password Family e 1Password Business e mi ritengo estremamente soddisfatto, qualche anno fa (poco prima della pandemia) ho migrato i miei accessi e ho allargato il bacino d’utenza portando a bordo anche mia moglie, rendendo di fatto anche a lei più semplice conservare in maniera sicura gli accessi a servizi e account che prima avevano caratteristiche comuni che li rendevano potenzialmente attaccabili. Poi mi sono messo a effettuare check incrociati (che il programma facilita assai) con il database di HIBP per intercettare quegli account “dimenticati” che erano finiti in mezzo a data breach denunciate pubblicamente, rimettendo così tanto ordine all’interno di una situazione molto confusionaria, figlia di anni di “accumulo incontrollato“. Oggi 1Password mi permette un’integrazione perfetta con iOS, Android, macOS e Windows, ma anche più nel dettaglio con Mozilla Firefox, Google Chrome, Microsoft Edge. Una vera manna dal cielo dalla quale difficilmente penso mi staccherò per molto tempo a questa parte.
Se cerchi un’alternativa che da diverso tempo a questa parte sta guadagnando terreno grazie al costante sviluppo e ascolto della community, allora butta un occhio su Bitwarden. Nasce open source, ha anche un’offerta commerciale per chi vuole la pappa pronta e gestita. Te ne parlerei volentieri in maniera più approfondita ma la mia esperienza è ancora scarsa in merito, però mi fido molto del parere di persone a me vicine che ne fanno uso quotidiano, uno tra questi è certamente Francesco, ne aveva parlato anche nella puntata 154 del suo podcast. Magari in futuro avrò occasione di metterci un po’ di più la testa dentro.
Fatti un favore, valuta l’utilizzo di un Password Manager e, se proprio non vuoi o non te la senti, cambia le tue password più deboli e proteggile sempre con un’autenticazione a doppio fattore.
Aggiornamento del 19/1/23
Ci tenevo a includere in questo mio articolo anche un altro riferimento che parla del medesimo macro-argomento e più specificatamente del “Modello di Maturità della Forza di Autenticazione del Consumatore” (CASMM) arrivato alla sesta versione, un percorso fatto di 8 passaggi che ti spiega quanta differenza corre dalla semplice e vulnerabilissima password condivisa all’ancora embrionale – per molti versi – Passwordless del quale spero di sentir parlare maggiormente (con applicazioni pratiche, che sono quelle che fanno la differenza e iniziano a spingere l’utilizzo tra early-adopter e non solo) nel corso di questo 2023: danielmiessler.com/blog/casmm-consumer-authentication-security-maturity-model
#StaySafe
immagine di copertina Compare Fibre on Unsplash
Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)
L'articolo potrebbe non essere aggiornato
Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)
