Generare Password forti e facili da ricordare per il web

Metodi per combinare sicurezza e memoria nelle credenziali online, con strumenti gratuiti e strategie contro i rischi di furto password

> Nonostante siano anni che scrivo sempre la stessa cosa in ogni articolo che parla di sicurezza informatica, ancora oggi la maggior parte delle persone sottovaluta l'importanza di avere una password sicura e continua a fare lo stesso errore, quello di usare come password parole semplici e numeri facili da ricordare, sempre la stessa per tutto.

Le combinazioni deboli come date di nascita o nomi di animali domestici compaiono ancora nei database violati. Secondo un rapporto Verizon Data Breach, oltre l'ottanta per cento delle intrusioni legate a credenziali usa chiavi prevedibili. Il problema non sta nella lunghezza, ma nella facilità di indovinare sequenze comuni.

LEGGI ANCHE: Scegliere password impossibili da scoprire
Ci sono almeno quattro criticità importanti che bisogna tenere a mente quando si deve creare la password sicura di un account su internet, sia esso Facebook, la posta elettronica oppure anche un forum dove parliamo di videogiochi.
Il primo punto è che dalla Email o dal profilo social di Facebook o da un account Google è possibile davvero risalire a tutta la vita online di una persona.
Il secondo è che se si utilizza sempre, più o meno, la stessa password facile anche per account di servizi secondari, nel caso in cui uno di questi servizi fosse hackerato e l'elenco degli utenti fosse diffuso, per ogni hacker del mondo potrebbe essere un gioco da ragazzi entrare in ogni nostro profilo privato online, compresa anche la mail.
Bisogna anche considerare che utilizzare come password per un account web o per un programma un nome proprio, il nome di una città, il nome del figlio o del nipote con le date di nascita, diventano facili da scoprire per chiunque ci conosce e ci vuole spiare, che anche per noia potrebbe tentare di accedere al nostro Facebook o Gmail solo conoscendo il nostro indirizzo principale ed il nome di nostra moglie/figli/nipote.

Per finire, dal punto di vista di un hacker mediamente esperto, è sempre facilissimo scoprire password di accesso che sono composte da parole del vocabolario italiano o di altre lingue.
Tramite una tecnica base come quella del "bruteForce", usando programmi particolari, un hacker può provare in pochi minuti tutte le parole del vocabolario per tentare di scoprire la passoword, senza usare particolari combinazioni.

Per questi motivi, una delle regole base di sicurezza informatica è quella di creare password sicure, che siano diverse per tutti gli account. Oltre che sicure, però, queste password devono rimanere facili da ricordare, per non rischiare di dimenticarle e complicarsi troppo la vita.

Come creare una password davvero sicura

Per scegliere una password sicura è sufficiente seguire delle semplici regole, applicabili tutti i giorni. Ecco l'elenco completo dei consigli da seguire per rendere la password davvero sicura:

• Evitiamo date e nomi personali: anche se sono facili da ricordare, evitiamo di utilizzare le date di compleanno, le date di un evento e i nomi comuni di familiari per creare una password. Un malintenzionato sufficientemente informato sulle nostre conoscenze e abitudini (o sul nostro compleanno) potrebbe arrivare ad intuire la password in pochissimo tempo.
• Evitiamo nomi di persone o cose famose: siamo dei fan di Star Trek e utilizziamo questo mondo fantascientifico per creare le password? Anche se ci sembrano abbastanza sicure, non lo sono affatto: basta utilizzare un dizionario con tutti i nomi e i termini utilizzati nei film e nelle serie TV per far scoprire la password in pochi minuti.
• Evitiamo quindi nomi che fanno riferimento a passioni personali o diventeremo delle facili prede.
• Lunghezza della password: difficile ricordare password più lunghe di 10 caratteri, specie con questi presupposti, ma le password con meno di 8 caratteri sono estremamente vulnerabili agli attacchi hacker. Cerchiamo se possibile di creare una password di almeno 8 caratteri, così da poterla ricordare senza difficoltà (magari dopo un po' d'esercizio).
• Variabilità della password: non usiamo solo lettere minuscole e numeri, ma utilizziamo anche le lettere maiuscole e almeno un carattere speciale (&,%,$,£) per rendere davvero sicura una password. Molti siti impongono già l'uso di questi caratteri speciali e delle maiuscole per creare una password valida per l'accesso ai siti.
• Usiamo la fantasia: associamo la password al primo oggetto che vediamo e mettiamoci qualche numero, qualche maiuscola e qualche carattere speciale (minimo 8 caratteri) per creare una password abbastanza difficile da indovinare per un estraneo ma semplice da ricordare i primi tempi, visto che l'oggetto associato alla password lo avremo davanti alla scrivania o allo schermo del PC. 
• Evitiamo di scrivere le password su carta: non c'è niente di peggio nel creare una password robusta e poi scriverla su un semplice pezzo di carta, magari conservata sotto la tastiera.

Metodo delle Frasi con Sostituzioni

Si parte da una frase personale lunga, tipo una citazione di un film preferito.
Esempio: "Nel 1999 ho visto Matrix al cinema con Claudio" diventa N99hvmAcC!.

• Le iniziali formano la base.
• I numeri sostituiscono parole chiave.
• Simboli e maiuscole interrompono il flusso.

La sequenza resta legata a un ricordo vivido, ma resiste agli attacchi di forza bruta.

Sistema dei Luoghi Conosciuti

Un indirizzo d'infanzia o il percorso casa-scuola genera la chiave.
Esempio: Via Verdi 27, palazzo rosso, terzo piano = VV27pr3p.

Ogni elemento visivo aggiunge un pezzo. Cambiare un dettaglio crea varianti per servizi diversi senza confusione.

Parole Casuali Unite da Separatori

Quattro termini senza legame logico, connessi da un segno fisso.
Esempio: sole - quaderno - ponte - luna con trattino = sole-quaderno-ponte-luna.

La lunghezza supera i sedici caratteri. La mancanza di senso blocca i dizionari automatici.

Altri metodi

• Usare un libro:

  Prendendo un libro che abbiamo a casa e di carta (un libro famoso in modo che se venisse perso si possa rimediare facilmente), aprirlo su una pagina, per esempio la 101, trovare la prima parola della terza riga (magari una parola che sia più lunga di 5 caratteri) e utilizzare, quindi, come password la parola trovata più il numero 101. Sul libro stesso o su un fogli appunti segnare che la pagina 101 è Google (la cui password sarà parola101, e poi andare avanti così per tutti gli altri account, parola102, parola103 ecc. Per rendere la password un po' più sicura, fare la prima o l'ultima lettera della parola maiuscola.

• Togliere le vocali a una frase.: Un modo di creare una password forte può essere quello di mettere insieme 3 parole e togliere tutte le vocali. Per esempio, "attenti al cane" diventa ttntlcn. Anche qui si può aggiungere la lettera maiuscola del sito a cui si riferisce l'account e un numero, eventualmente segnandoli su un foglio appunti.
• Usare determinati tasti sulla tastiera del PC.: Un modo originale di creare una password sicura è quello di scegliere tre numeri e poi scrivere le lettere sotto o secondo un criterio che conosciamo solo noi. Per esempio, quindi, se il numero scelto è 362, la password può diventare, 3edc6yhn2wsx. edc sono i tasti sotto il numero 3 sulla tastiera Qwerty, yhn sono i tasti sotto il 6 e wsx sono i tasti sotto il 2. La password è impossibile da intuire e molto facile da ricordare, anche se potrebbero esserci problemi nel caso si dovesse scriverla usando una tastiera diversa come quella dei cellulari.
• Il contrario di una parola.: Un modo abbastanza sicuro di creare password può essere quello di invertire la parola e scriverla al contrario. In questo modo potremmo usare anche parole di uso comune o nomi di persone, come Navigaweb che diventa bewagivan. Come al solito è importante aggiungere un numero o un simbolo e usare almeno una lettera maiuscola.
• Una base comune di iniziali del nome del sito: I primi due caratteri del dominio + base + ultimi due caratteri. Esempio: per Gmail con base sole-quaderno diventa gmsole-quadernoil

• Si possono usare emoji?
  Alcuni siti le accettano, ma la compatibilità resta limitata. Meglio evitarle per evitare blocchi.
• Quante password diverse servono?
  Una per categoria: banca, email, social, lavoro. Quattro basi modificate coprono tutto.
• Cosa fare se un servizio forza cambi periodici?
  Aggiungere un contatore alla fine: base-01, base-02. Il gestore aggiorna automaticamente.
• I generatori online sono sicuri?
  Quelli open-source con codice visibile sì. Evitare pagine che chiedono email o salvataggio.

Strumenti Online Gratuiti per Generare e Verificare

Diceware usa dadi virtuali per selezionare parole da una lista approvata. Ogni combinazione da cinque termini resiste a secoli di calcoli.

Rumkin Password Tool permette di mescolare lettere, numeri e simboli con opzioni di pronuncia. Utile per creare basi da modificare manualmente.

Password Monster mostra il tempo necessario a crackare una sequenza. Serve a capire l'impatto di ogni carattere aggiunto.

Il sito che possiamo How Secure Is My Password? permettono di verificare il livello di sicurezza della password scelta

Utilizzare un gestore password

Uno dei metodi più semplici per gestire tutte le password prevede di usare un'app per gestire password, usando un servizio o programma che memorizzi i dati di accesso e li protegga dietro un'unica password principale che diventa l'unica da ricordare a mente.

Gestori di Password Integrati nei Browser

Chrome, Edge e Firefox salvano credenziali criptate localmente. La sincronizzazione avviene solo con una chiave maestra.

• Attivare la protezione con PIN o impronta.
• Esportare i dati in formato criptato per backup.

KeePass

Il programma gratuito migliore per gestire le password sul computer è KeePass, che ho descritto e spiegato qualche tempo fa.


KeePass viene eseguito sul proprio PC e non memorizza i dati online su siti e server esterni, rimanendo quindi fuori dalla portata degli hacker (che spesso mirano proprio ai servizi di gestione password online per rubare le credenziali).

Se desideriamo portare le password con noi sullo smartphone o sul tablet possiamo utilizzare KeePass in combinazione con un servizio di archiviazione di file online come Google Drive per sincronizzare il file protetto con tutte le password e poterlo usare da più computer insieme; sul dispositivo portatile dovremo installare un'app per aprire i file KeePass anche da remoto, come Keepass2Android (Android) e KeePass Touc‪h (iOS).
Per approfonire possiamo leggere la nostra guida KeePass su Android e iPhone: come salvare le password su cloud personale.

BitWarden

In più occasioni vi abbiamo parlato di di LastPass, che tempo fa era un servizio gratuito utile per memorizzare tutte le password proteggendole con una sola grande password. Siccome oggi LastPass non più gratuito, allora il consiglio è quello di usare un programma simile in tutto e per tutto, affidabile e sicuro come Bitwarden. Possiamo integrare Bitwarden su tutti i moderni PC Windows, Mac o Linux, installarlo sul browser Web, scaricando l'estensione specifica per Google Chrome, Mozilla Firefox e Microsoft Edge; per potarci le password dietro possiamo installare anche le app dedicate ai dispositivi Android e iPhone/iPad.
Una volta integrato Bitwarden ovunque, possiamo utilizzare il generatore di password robuste cliccando in alto sull'icona dell'estensione e utilizzando la voce Genera password sicura.


La password generata verrà subito salvata all'interno del database online, dovremo solamente associarla ad un sito o ad un servizio che abbiamo appena sottoscritto o su cui abbiamo cambiato la vecchia password.
Bitwarden mostrerà anche l'icona per generare la password sicura anche durante il form di iscrizione ad un servizio: nei campi Password e Ripeti Password potremo trovare un piccolo lucchetto con una freccia che gira su di esso, che di fatto permette di generare al volo una nuova password sicura per il sito a cui stiamo per iscriverci.

Per aumentare la sicurezza quando siamo al PC o quando utilizziamo la stessa password già usata su altri siti, vi sapere tutto sugli Avvisi di cambio password se compromessa o di violazioni account.