Generare Password forti e facili da ricordare per il web
Aggiornato il:
Strumenti e trucchi per creare una password diversa per ogni sito, facile da ricordare o gestita automaticamente da un programma
> Nonostante siano anni che scrivo sempre la stessa cosa in ogni articolo che parla di sicurezza informatica, ancora oggi la maggior parte delle persone sottovaluta l'importanza di avere una password sicura e continua a fare lo stesso errore, quello di usare come password parole semplici e numeri facili da ricordare, sempre la stessa per tutto.LEGGI ANCHE: password impossibile da scoprire
Ci sono almeno quattro criticità importanti che bisogna tenere a mente quando si deve creare la password sicura di un account su internet, sia esso Facebook, la posta elettronica oppure anche un forum dove parliamo di videogiochi.
Il primo punto è che dalla Email o dal profilo social di Facebook o da un account Google è possibile davvero risalire a tutta la vita online di una persona.
Il secondo è che se si utilizza sempre, più o meno, la stessa password facile anche per account di servizi secondari, nel caso in cui uno di questi servizi fosse hackerato e l'elenco degli utenti fosse diffuso, per ogni hacker del mondo potrebbe essere un gioco da ragazzi entrare in ogni nostro profilo privato online, compresa anche la mail.
Bisogna anche considerare che utilizzare come password per un account web o per un programma un nome proprio, il nome di una città, il nome del figlio o del nipote con le date di nascita, diventano facili da scoprire per chiunque ci conosce e ci vuole spiare, che anche per noia potrebbe tentare di accedere al nostro Facebook o Gmail solo conoscendo il nostro indirizzo principale ed il nome di nostra moglie/figli/nipote.
Per finire, dal punto di vista di un hacker mediamente esperto, è sempre facilissimo scoprire password di accesso che sono composte da parole del vocabolario italiano o di altre lingue.
Tramite una tecnica base come quella del "bruteForce", usando programmi particolari, un hacker può provare in pochi minuti tutte le parole del vocabolario per tentare di scoprire la passoword, senza usare particolari combinazioni.
Per questi motivi, una delle regole base di sicurezza informatica è quella di creare password sicure, che siano diverse per tutti gli account. Oltre che sicure, però, queste password devono rimanere facili da ricordare, per non rischiare di dimenticarle e complicarsi troppo la vita.
Come creare una password davvero sicura
Per scegliere una password sicura è sufficiente seguire delle semplici regole, applicabili tutti i giorni. Ecco l'elenco completo dei consigli da seguire per rendere la password davvero sicura:
- Evitiamo date e nomi personali: anche se sono facili da ricordare, evitiamo di utilizzare le date di compleanno, le date di un evento e i nomi comuni di familiari per creare una password. Un malintenzionato sufficientemente informato sulle nostre conoscenze e abitudini (o sul nostro compleanno) potrebbe arrivare ad intuire la password in pochissimo tempo.
- Evitiamo nomi di persone o cose famose: siamo dei fan di Star Trek e utilizziamo questo mondo fantascientifico per creare le password? Anche se ci sembrano abbastanza sicure, non lo sono affatto: basta utilizzare un dizionario con tutti i nomi e i termini utilizzati nei film e nelle serie TV per far scoprire la password in pochi minuti.
- Evitiamo quindi nomi che fanno riferimento a passioni personali o diventeremo delle facili prede.
- Lunghezza della password: difficile ricordare password più lunghe di 10 caratteri, specie con questi presupposti, ma le password con meno di 8 caratteri sono estremamente vulnerabili agli attacchi hacker. Cerchiamo se possibile di creare una password di almeno 8 caratteri, così da poterla ricordare senza difficoltà (magari dopo un po' d'esercizio).
- Variabilità della password: non usiamo solo lettere minuscole e numeri, ma utilizziamo anche le lettere maiuscole e almeno un carattere speciale (&,%,$,£) per rendere davvero sicura una password. Molti siti impongono già l'uso di questi caratteri speciali e delle maiuscole per creare una password valida per l'accesso ai siti.
- Usiamo la fantasia: associamo la password al primo oggetto che vediamo e mettiamoci qualche numero, qualche maiuscola e qualche carattere speciale (minimo 8 caratteri) per creare una password abbastanza difficile da indovinare per un estraneo ma semplice da ricordare i primi tempi, visto che l'oggetto associato alla password lo avremo davanti alla scrivania o allo schermo del PC.
- Evitiamo di scrivere le password su carta: non c'è niente di peggio nel creare una password robusta e poi scriverla su un semplice pezzo di carta, magari conservata sotto la tastiera.
1) Il primo trucco per creare password sicure e facili da ricordare è quello di pensare una frase e usare le iniziali di questa frase.
Per esempio, potrei pensare "con Navigaweb il sito migliore del web", prendere le iniziali di ogni parola e comporre la password che diventa: cNismdw, impossibile da intuire, ma facile da ricordare se abbiamo la frase in mente. A questo punto potremmo decidere che la password di Google sia cNismdw-G, quella di Facebook cNismdw-F e cosi via. Con questa frase abbiamo anche la lettera maiuscola, quindi bisogna solo aggiungerci un numero per essere proprio perfetti e poter distinguere i siti che iniziano con la stessa lettera.
Per esempio, quindi, per non usare la stessa password per gli account Amazon e Apple, possiamo fare la password cNismdw-A1 ecNismdw-A2, mettendo i numeri 1 e 2 in base alla seconda lettera della parola, con la m di Amazon che nell'alfabeto precede la p di Apple.
Questa metodologia non richiede nemmeno di scrivere un foglio di appunti per ricordare il criterio, anche se questo sarebbe comunque utile. Sul foglio non andiamo a scrivere la frase che usiamo come criterio, ma soltanto, ad esempio, i numeri che corrispondono ai vari account, in modo da avere sempre un modo per recuperarli in caso di lapsus o dimenticanze.
2) Usare un libro
Il secondo trucco è quello di usare la parola contenuta in un libro come password
Prendendo un libro che abbiamo a casa e di carta (un libro famoso in modo che se venisse perso si possa rimediare facilmente), aprirlo su una pagina, per esempio la 101, trovare la prima parola della terza riga (magari una parola che sia più lunga di 5 caratteri) e utilizzare, quindi, come password la parola trovata più il numero 101. Sul libro stesso o su un fogli appunti segnare che la pagina 101 è Google (la cui password sarà parola101, e poi andare avanti così per tutti gli altri account, parola102, parola103 ecc.
Per rendere la password un po' più sicura, fare la prima o l'ultima lettera della parola maiuscola.
3) Togliere le vocali a una frase.
Un modo di creare una password forte può essere quello di mettere insieme 3 parole e togliere tutte le vocali. Per esempio, "attenti al cane" diventa ttntlcn. Anche qui si può aggiungere la lettera maiuscola del sito a cui si riferisce l'account e un numero, eventualmente segnandoli su un foglio appunti.
4) Usare determinati tasti sulla tastiera del PC.
Un modo originale di creare una password sicura è quello di scegliere tre numeri e poi scrivere le lettere sotto o secondo un criterio che conosciamo solo noi. Per esempio, quindi, se il numero scelto è 362, la password può diventare, 3edc6yhn2wsx. edc sono i tasti sotto il numero 3 sulla tastiera Qwerty, yhn sono i tasti sotto il 6 e wsx sono i tasti sotto il 2. La password è impossibile da intuire e molto facile da ricordare, anche se potrebbero esserci problemi nel caso si dovesse scriverla usando una tastiera diversa come quella dei cellulari.
5) Il contrario di una parola.
Un modo abbastanza sicuro di creare password può essere quello di invertire la parola e scriverla al contrario. In questo modo potremmo usare anche parole di uso comune o nomi di persone, come Navigaweb che diventa bewagivan. Come al solito è importante aggiungere un numero o un simbolo e usare almeno una lettera maiuscola.
Qualsiasi metodo si utilizzi, l'importante è non usare sempre la stessa password e, all'opposto, non dover ricordare chiavi diverse per ogni sito web. Se non viene in mente nessun algoritmo mentale efficace, si può sempre sfruttare un generatore di password automatico.
In alternativa possiamo utilizzare anche uno dei gestori password che includono dei generatori di password casuali difficili da indovinare o hackerare.
Utilizzare un gestore password
Uno dei metodi più semplici per gestire tutte le password prevede di usare un'app per gestire password, usando un servizio o programma che memorizzi i dati di accesso e li protegga dietro un'unica password principale che diventa l'unica da ricordare a mente.
Il programma gratuito migliore per gestire le password sul computer è KeePass, che ho descritto e spiegato qualche tempo fa.
KeePass viene eseguito sul proprio PC e non memorizza i dati online su siti e server esterni, rimanendo quindi fuori dalla portata degli hacker (che spesso mirano proprio ai servizi di gestione password online per rubare le credenziali).
Se desideriamo portare le password con noi sullo smartphone o sul tablet possiamo utilizzare KeePass in combinazione con un servizio di archiviazione di file online come Google Drive per sincronizzare il file protetto con tutte le password e poterlo usare da più computer insieme; sul dispositivo portatile dovremo installare un'app per aprire i file KeePass anche da remoto, come Keepass2Android (Android) e KeePass Touch (iOS).
Per approfonire possiamo leggere la nostra guida KeePass su Android e iPhone: come salvare le password su cloud personale.
BitWarden
In più occasioni vi abbiamo parlato di di LastPass, che tempo fa era un servizio gratuito utile per memorizzare tutte le password proteggendole con una sola grande password. Siccome oggi LastPass non più gratuito, allora il consiglio è quello di usare un programma simile in tutto e per tutto, affidabile e sicuro come Bitwarden. Possiamo integrare Bitwarden su tutti i moderni PC Windows, Mac o Linux, installarlo sul browser Web, scaricando l'estensione specifica per Google Chrome, Mozilla Firefox e Microsoft Edge; per potarci le password dietro possiamo installare anche le app dedicate ai dispositivi Android e iPhone/iPad.
Una volta integrato Bitwarden ovunque, possiamo utilizzare il generatore di password robuste cliccando in alto sull'icona dell'estensione e utilizzando la voce Genera password sicura.
La password generata verrà subito salvata all'interno del database online, dovremo solamente associarla ad un sito o ad un servizio che abbiamo appena sottoscritto o su cui abbiamo cambiato la vecchia password.
Bitwarden mostrerà anche l'icona per generare la password sicura anche durante il form di iscrizione ad un servizio: nei campi Password e Ripeti Password potremo trovare un piccolo lucchetto con una freccia che gira su di esso, che di fatto permette di generare al volo una nuova password sicura per il sito a cui stiamo per iscriverci.
Generatore di password integrato in Google Chrome
Il browser Google Chrome integra un generatore di password sicure che possiamo utilizzare ogni volta che ci iscriviamo ad un sito o che cambiamo password su un sito a cui siamo già iscritti. Per poterlo utilizzare apriamo il browser sul nostro computer o sul telefono, premiamo in alto a destra sui tre puntini, premiamo su Accedi e sincronizziamo il nostro account Google. Dopo aver fatto ciò portiamoci nella schermata di creazione di un nuovo account o nella schermata dove inserire la nuova password per un sito, premiamo sulla casella di testo della password e utilizziamo la password indicata accanto alla voce Utilizza la password suggerita.
Se non vediamo comparire il campo della password, possiamo sempre premere con il tasto destro sul campo di inserimento della password e premere sulla voce Suggerisci password.
Tutte le password utilizzate verranno subito salvate all'interno dell'account Google Chrome, al riparo da qualsiasi occhio indiscreto e pronte all'uso non appena accediamo al nuovo sito.
KeePass
Se non vogliamo utilizzare nessun sito o piattaforma online per salvare le password d'acceso ai nostri siti (specie quelli bancari), possiamo affidarci ad un programma funzionante offline e gratuito come KeePass.
Una volta installato il programma sul nostro computer, creiamo un nuovo database locale e, quando necessitiamo di una nuova password, premiamo in alto su Strumenti -> Genera password.
Nella finestra che vedremo comparire potremo generare nuove password in maniera semplice, scegliendo anche quali elementi debba contenere.
Per approfondire vi raccomandiamo di leggere la nostra guida Miglior gestore password gratis: Keepass.
Come creare password forti e ricordabili senza programmi esterni
Un trucco molto intelligente per creare password ricordabili senza usare alcun servizio esterno e senza programmi è invece suggerito da Mozilla.
Possiamo infatti generare una password per ogni sito, pensando ad una frase familiare come, ad esempio, "Che la forza sia con te", abbreviandola in clfsct. A questa parola, aggiungiamo due caratteri speciali sia a destra che a sinistra per renderla più forte: (ad esempio diventa $clfsct!).
Questa diventa la password principale che può essere cambiata, per ogni sito, aggiungendo le tre lettere iniziali dell'account a cui si è registrati, come suffisso o prefisso. Ad esempio, la password dell'esempio potrebbe diventare $clfsct!FAC per Facebook $clfsct!GOO per Google $clfsct!YAH per Yahoo e cosi via. Così, la password di base rimane sempre la stessa e, in ogni sito, cambia solo il prefisso o il suffisso, a seconda del nome del dominio.
La password diventa facile da ricordare per tutti i siti e, soprattutto, è praticamente impossibile da rubare (cosa invece possibile con password deboli).
Una variante di questo trucco, se si vuole qualcosa di più semplice, è quella di scegliere una parola master inventata, ad esempio Pomwer (una maiuscola mettiamocela sempre), e poi aggiungere una lettera ed un numero diverso per ogni password creata. Per esempio per Google diventa PomwerG1 per Facebook PomwerF2 e cosi via.
Testare la sicurezza delle password
Come possiamo verificare se la password scelta è abbastanza sicura? Ci sono dei siti che permettono di verificare il livello di sicurezza della password scelta.Il sito che possiamo utilizzare per il controllo è disponibile qui -> How Secure Is My Password?
Inserendo la password scelta verrà mostrato in quanto tempo la password può essere craccata da un hacker: si va da pochissimi picosecondi (ossia istantaneamente) fino a oltre un miliardo di anni per le password più complesse (in teoria è possibile ottenere anche password craccabili solo con tempi che superano l'età dell'Universo!).
Senza esagerare possiamo accontentarci di password che necessitano di qualche decina d'anni per essere craccati (con i mezzi attuali), così da poter essere abbastanza sicuri di non poter subire attacchi hacker.
Per aumentare la sicurezza quando siamo al PC o quando utilizziamo la stessa password già usata su altri siti, vi raccomandiamo di leggere la nostra guida Avviso password compromessa o già usata da Google.