L’uso di password complesse per tutti i nostri account online non è una cosa che dovremmo fare. È una cosa che si deve fare. Uno o due mesi fa, un caro amico mi ha raccontato una sua odissea: alcuni cracker hanno scoperto la sua password e così questi non solo hanno spiato e letto tutte le conversazioni, ma ne hanno acquisito il pieno controllo, cambiando password e risposta segrete.
Più che il fatto in sé, il problema più grave era il fatto che questi malviventi gli hanno bloccato anche l’accesso al suo conto bancario online. In ogni caso, avendolo scoperto praticamente subito, è riuscito a recuperare il suo account Google e prima ancora quello bancario.
Tutto sommato, poteva andargli molto peggio. Basta leggere qualche notizia per capire cosa si rischia ad usare password troppo deboli.
Ma cosa è che rende sicura una password? Quale è la qualità che ogni passoword dovrebbe avere?
Cosa rende delle password efficaci?
Ci sono molte più di una veloce risposta alla domanda in questione. In breve, però, una password complessa e difficile da carpire, deve:
• Essere costituita da Caratteri speciali (come “#“, “$“, “%“, “^” o “&“);
• Contenere almeno 8 caratteri (sottilineo, almeno);
• Avere una serie di lettere maiscuole e minuscole mescolate fra loro;
Al contrario, una password complessa non deve:
• Contenere una sola parola “censita” nel dizionario;
• Essere dello stesso stampo di “12345” o “qwerty” (sono le prime a cadere per banalità);
• Avere parole troppo comuni;
• Contenere la propria data di nascita, il numero di cellulare, parte del nome utente;
Sono questi i requisiti base. Soddisfatti questi, sarà già molto più difficile che un malintenzionato scopra la nostra password.
Per una protezione più completa, però, vi sono altri passaggi da seguire. Ad esempio, impostare per ogni account una password completamente differente dalle altre.
Ciò consente di non far “crollare” un intero sistema basato su una unica parola, che una volta ottenuta dal malintenzionato diventa completamente obsoleta, soprattutto se già lo è si base. Difatti, il cracker/lamer (o se
siete fortunati l’hacker onesto) potrà molto più velocemente scoprire le password di tutti gli altri account.
Come ricordare?
Il problema più immediato, sta nel fatto che non è possibile ricordare le password di ogni cosa. Per questo motivo la stra-grande maggioranza degli utenti adotta password semplicissime da ricordare, ma tremendamente semplici da indovinare.
Ecco dei piccoli trucchi che ho usato e sono davvero molto utili in ogni situazione:
1. In primis, pensare ad una cosa. Una cosa qualunque, una data, una frase, un evento, un luogo o una qualsiasi altra cosa che è unica solo e soltanto a te. Attenzione, questa deve essere composta da almeno 8 caratteri. Ho definito il risultato di questo procedimento come “mela”.
A scopo dimostrativo, userò il nickname Sniper Wolf, come termine “mela” in tutto il resto dell’articolo. Si noti
che le lettere maiuscole e lo spazio in mezzo il nome fanno parte del termine “mela”. Per il proprio account, selezionare un termine “mela” che è difficile per altri da indovinare.
2. In secondo luogo, ho operato delle semplici sostituzioni. Una regola vera e propria, che sostituisce delle lettere con dei caratteri speciali. Ovviamente, è possibile formare una regola propria.
• Sostituisco tutte le ‘S‘ con ‘§’;
• Sostituisco tutte le ‘n‘ con ‘/V’;
• Sostituisco ogni spazio con ‘%’;
• Sostituisco qualsiasi ‘o‘ con ”’ (zero);
• Sostituisco qualsiasi ‘i‘ con ‘!’;
• Sostituisco ogni ‘e’ con ‘€’;
• Sostituisco ogni ‘p’ con ‘|>’;
• Sostituisco tutte le ‘r’ con ‘7’;
• Sostituisco tutte ‘W’ con ‘^^‘;
• Sostituisco qualsiasi ‘l’ con ‘I’ (I maiuscolo);
• Sostituisco ogni ‘f’ con ‘|=’;
In questo caso, il semplice termine “mela” Sniper Wolf diventa “§/V! |>€7%^^0I|=”.
Può essere davvero utile per stimolare la nostra creatività, dare uno sguardo al linguaggio leet, una forma codificata di inglese che si caratterizza per l’uso di caratteri particolari, come appunto a noi serve. Qui troviamo maggiori info.
3. Per verificare l’efficacia del nostro termine “mela”, andiamo qui. Password Meter è un servizio web gratuito che valuta oggettivamente la forza del nostro termine “mela” e, nel caso in cui non lo sia, ci fornisce degli utili consigli per migliorarlo.
4. Una volta perfezionato il nostro termine “mela”, saremo sicuri che solo noi sapremo decodificare la password. E’ quindi il momento più adatto per impostare il nostro termine “mela” come password del nostro account. Per evitare di creare troppe password difficili da ricordare, è possibile inserire insieme al nostro termine “mela” il nome del sito web in cui stiamo registrando la password.
Ad esempio, se voglio una password per il mio account su Sparkblog.org, allora scriverò “§/V! |>€7%^^0I|=%§|>a7bI0g.07g” (in grassetto-corsivo la parte appena aggiunta). E così via.
Se si esegue questa operazione per tutti i nostri account online, sarete certamente sorpresi di scoprire che la possibilità di creare decine, se non centinaia di migliaia, di password differenti semplici da ricordare è davvero dietro l’angolo.
Al posto del nome del sito o l’URL, è possibile digitare anche un nomignolo (ad esempio, da Sparkblog.org a SKB.org).
È sufficiente?
Questo è solo l’inizio. Per rendere veramente infernale la vita a chi volesse anche solo provare a rubare la password, un metodo veramente sicuro e difficile da scardinare, è rappresentato dai cambi frequenti della password. Una frequenza abbastanza buona si trova nella fascia dei 2-3 mesi.
Certamente un lavoro più difficile e faticoso, ma certamente quello più sicuro. Un trucco per modificare la password facilmente, è il seguente: invece di aggiungere il nome del sito (o altro) alla fine del termine “mela”, possiamo spostarlo all’inizio, in mezzo o persino dividere il nome del sito stesso in più parti.
Altro semplice trucco: modificare i caratteri di sostituzione. Ad esempio trasformare “r” non più in “7”, bensì in “[z”, e così via per tutti gli altri.
Conclusione
La creazione e l’utilizzo di una password veramente sicura è solo la prima linea di difesa contro cracker/lamer. La cosa più importante che si dovrebbe fare, è prendere atto delle proprie abitudini di navigazione.
Quando si utilizza un computer aperto a chiunque, assicurarsi che sia protetto da un firewall e da un buon antivirus, quindi controllare che qualche buontempone non abbia installato del software maligno (keylogger in primis, qui e qui sono recensiti due utilissimi software per rilevarli).
Ed infine, una volta finita la navigazione, svuotiamo cache e cronologia dal browser che abbiamo finora utilizzato, mediante la funzione proposta dal navigatore stesso o tramite software come CCleaner (particolarmente utile nella sua versione “portable“).