1\ Non riciclare le password, usa una passphrase
Te l'avranno già detto milioni di volte: ma continui a usare sempre le stesse perchè sono quelle che ti ricordi. Qui una serie di consigli per migliorare una volta per tutte.
La Dritta, in breve
Per la tua password della tua email usa una password unica, mai usata, e abbastanza complicata. Prova con una frase, è facile.
Sincerità
Non raccontiamoci bugie: usiamo sempre le stesse password, al massimo variamo qualcosa sul finale, ma sono sempre quelle, alcune addirittura sono riconducibili a facilmente a noi o ai nostri cari. E’ un problema? si e no. I puristi di sicurezza informatica vi diranno di si, sempre, ma amo essere pragmatico: ci sono delle password importanti e ci sono delle password che lo sono meno.
Non c’è bisogno che ve lo dica che tra quelle importanti ci sono:
Banca online e Servizi di pagamento come Paypal e Satispay
Servizi online che conservano le vostre informazioni di pagamento: Amazon, Netflix e tutta la compagnia cantante delle piattaforme in abbonamento.
Servizi che gestiscono il vostro hardware: Google e Apple (Android e iPhone)
Tra quelli abbastanza importanti ci sono tutti quei servizi o piattaforme che hanno delle vostre informazioni personali:
foto in cloud
social di ogni genere
Badate che per personali non intendo private, intendo che si riferiscono chiaramente alla vostra persona.
tutte le altre per ora lasciamole perdere.
D’accordo?
In verità c’è una password che è la più importante di tutte.
Quella della vostra posta principale.
Quella del vostro indirizzo email che utilizzate per iscrivervi a tutti i servizi di cui sopra. Da quell’indirizzo email passano tutti i possibili reset di password di quei servizi. Se qualcuno entra in possesso della password della vostra email, può inziare a cambiare le password di tutti i servizi registrati con quell’indirizzo.
Voi direte: Che novità, grazie tante.
Quindi la password della vostra email non la riutilizzate da nessuna altra parte?
Perchè se voi vi iscrivete su miominipony.it (sito di esempio, e no, non esiste) con la stessa password (o simile) che ho usato a protezione della mia email, vuol dire che miominpony.it potenzialmente (in questo potenzialmente ci stanno riassunti almeno 3 libri) può entrare nella vostra posta personale usando la stessa email e la stessa password. Oppure non lo fa miominipony.it, ma semplicemente un attacco informatico ben riuscito (unito a una dose di incompetenza dei gestori) potrebbe esporre i vostri dati, compresi ovviamente utente, email e password.
Succede spesso? no, ma succede. Quando succede però sono dolori per milioni di utenti. Ad esempio 10 anni fa vennero rubati 68 milioni di account di Dropbox.com , si quel Dropbox. 68,680,741 per la precisione. Tanta roba, eh?
Stai parlando di 10 anni fa!
Ok. Nel gennaio 2019 è emerso un database di 773 Milioni di utenti con ovviametne password. E' ad oggi il più grande database di furti di credenziali scoperto, si chiama “Collection #1”. 1
Fermi tutti! io uso Dropbox!
una cosa alla volta, ci arriveremo nelle prossime puntate. Nel frattempo se hai paura, tranquillo, sono 10 anni che è successo, non succederà proprio ora. In verità Dropbox ha obbligato tutti gli utenti a cambiare la password, tranquilli. Sapete come ha fatto? ha mandato una email…
Hai capito che la dritta numero 1 è quella di :
La dritta spiegata bene:
Avere una password completamente diversa dalle altre per la tua posta.
La dovrai sapere a memoria.
Non la dirai a nessuno.
Per farla complicata ma memorizzabile ti consiglio di usare una passphrase, in italiano una “frase d’ordine“ e non più una “parola d’ordine”, perchè spesso si utilizzano cose impronunciabili e impossibili da ricordare come Sds@fDf£%”£1!
Usate piuttosto qualcosa come:
Sempre caro mi fu quest'ermo colle
Leopardi, l’infinito. Facile da ricordare, decisamente complesso da indovinare. Se vi chiedono di agigungere un numero alla password, di solito consiglio di aggiungere in fondo una cifra nota facile da ricordare, ad esempio 44.
Sempre caro mi fu quest'ermo colle44
44 si ricorda più facilmente di 4. Fidatevi.
Ora vi prego di non usare l’Infinito di Leopardi. Usate la vostra canzone preferita, una battuta di un film: l’importante è che sia sufficentemente lunga (20-25 caratteri) e facile da memorizzare. Premio speciale se trovate una frase con dentro apostrofi o lettere accentate, che rendono il tutto ancora più difficile da indovinare.
Mi raccomando non usate frasi palesemente vostre o facilmente riconducibili a voi. Altrimenti è un disastro.
ma chi è cosi cretino da farlo?
Donald Trump, anche da presidente degli Stati Uniti, due volte di seguito.
La prima volta era yourefired la sua frase emblema di quando faceva The Apprentice poi fu maga2020! che è lo slogan della sua campagna elettorale 2020: Make America Great Again 2020.2
Questo aveva i codici delle bombe nucleari.
Cose da tenere in considerazione
Nessuno vi vieta di usare questo trucco anche per le altre password per i servizi di cui sopra, se volete usare la stessa frase per gli altri servizi, ritornate a leggere dall’inizio, che è meglio.
Alcuni servizi molto legati a questioni economiche hanno implementato una modalità che si chiama Auteticazione a due fattori o a più fattori (2FA o MFA), le banche ad esempio da gennaio 2021 sono obbligate per legge a farvi fare operazioni solo attraverso questa modalità. Il Famoso codice monouso generato o da un token fisico o da una app installata sullo smarphone.
E’ una protezione aggiuntiva e non sostitutiva alla password, quindi non pensate che
Tanto mi chiede sempre il codice monouso, quindi posso avere password semplici o riciclate
No. La password complessa è il primo strumento di difesa. Il codice monouso potrebbe essere inefficace in alcune situazioni.
In futuro cercherò di spiegare perchè è importante attivare sempre dove possibile queste Auteticazioni a due fattori.