Password. Ormai sono diventate una costante quotidiana della nostra vita. Per accedere al computer serve una password, per accedere alla nostra mail online serve una password, per utilizzare il banking online serve una password e così via, si potrebbero fare centinaia di esempi concreti in cui è necessario utilizzare una password.
La password ha un compito fondamentale, importantissimo: impedire l’accesso a servizi/dati/informazioni alle persone non autorizzate, ma per far questo in maniera efficiente ed efficace, deve possedere due requisiti: essere al tempo stesso sufficientemente complessa ed articolata, in modo da non poter essere “scoperta” o violata, e sufficientemente familiare al suo proprietario per far sì che non se la dimentichi.
Utilizzare password molto semplici, brevi, banali tipo “1234”, “qwerty” e via dicendo, equivale a non utilizzare alcuna password. Sebbene questo sistema permetta di ricordarle facilmente, altrettanto facilmente permette ad eventuali malintenzionati di scoprirle, tramite attacchi chiamati “brute force”, in cui vengono provate in rapida successione tutte le possibili combinazioni di lettere e numeri, o tramite l’uso di dizionari, che sono liste precompilate delle parole più comuni utilizzate come password. Alcuni siti o servizi obbligano l’utente ad utilizzare password con una lunghezza minima di 6 o più caratteri, ed alcuni obbligano anche l’uso congiunto di lettere e numeri, in maniera da rendere più efficace la password stessa.
Un altro errore molto comune consiste nell’utilizzare la stessa password per più o addirittura per tutti i siti/servizi a cui si è iscritti. In questo caso, anche se la password è particolarmente complessa, esiste il rischio che, qualora venisse scoperta da un estraneo, quest’ultimo avrebbe automaticamente accesso a tutte le nostre aree riservate.
Alla luce di quanto appena visto, appare evidente come sia importante utilizzare una password lunga, contetente sia numeri che lettere, maiuscole e minuscole (le password distinguono le lettere maiuscole da quelle minuscole, sono “case sensitive”) e magari anche caratteri speciali come i segni di punteggiatura. Tutto questo non fa che aumentare il primo requistito, ossia la complessità e difficoltà ad essere violata della password. Purtroppo, spesso, all’aumentare di questa complessità diminuisce la facilità con cui si riesce a ricordarla. Come fare per evitare che questo avvenga, senza cadere negli errori sopra descritti? Abbiamo diverse possibilità.
La prima è quella di annotarle su carta. Che sia il classico post-it sul monitor o il foglio accuratamente archiviato, questa soluzione è estremamente rapida ma poco sicura: chiunque potrebbe leggere le vostre note, potreste perderle o, col tempo, potrebbero diventare illeggibili. Una quindicina di anni fa, agli albori della mia esperienza nel mondo dell’informatica, anche io ho attuato questa soluzione, ed ho potuto verificare la sua scarsissima praticità, nel mio caso dovuta alla facilità con cui si smarriscono fogli, fogliettini e post-it.
Una seconda soluzione consiste nel salvare le nostre password su di un file, che può essere ad esempio word, excel o access. Questa soluzione ha dei vantaggi notevoli rispetto alla prima: essendo digitali, queste informazioni possono essere conservate più facilmente e in maniera più efficiente, e non essendo scritte a mano sono più facilmente leggibili anche a distanza di anni. Rimane un grosso problema: chiunque potrebbe aprire il file e leggerne il contenuto. La soluzione è semplice: proteggere con password il file. Sembra un controsenso, proteggere con password il file creato per farci ricordare le password, ma c’è un dettaglio importante: il file può contenere decine, magari centinaia di password, mentre la password del file stesso è solo una, quindi non dovremo ricordarle tutte, ma solo quella del file, la chiave che ci permette di accedere a tutte le altre chiavi.
Per molti anni questa è stata la soluzione che ho scelto: un file excel ben strutturato in cui in una colonna annotavo il nome del sito o servizio in oggetto, nella seconda l’indirizzo a cui questo era raggiungibile, nella terza il nome utente e nella quarta la password. Il tutto salvato e protetto da una password. Purtroppo però, mi sono reso conto che rimuovere le protezioni da file word e excel è estremamente semplice, esistono addirittura siti che permettono di farlo online senza necessità di utilizzare alcun programma, indipendentemente da quanto questa sia complessa. Avevo trovato il modo di ovviare anche a questo problema, mediante l’utilizzo di un programma chiamato True Crypt, che rendeva il file sicuro e letteralmente a prova di bomba, ma il suo utilizzo, che qui non tratto per non divagare eccessivamente, per questo specifico utilizzo era macchinoso e decisamente poco pratico.
Eccoci quindi alla terza soluzione possibile: l’utilizzo di un password manager.
I password manager altro non sono che programmi incaricati di salvare i nostri nomi utente e password, di proteggerli da occhi indiscreti e di renderceli disponibili quando ne abbiamo bisogno. Sebbene quasi tutti i browser web dispongano di un password manager, le loro funzioni sono molto limitate, quindi vorrei consigliare un programma che ho scoperto da poco ma che, dopo averlo provato, si è rivelato sicuro, completo, davvero ben fatto ed estremamente funzionale: KeePass.
KeePass è un programma gratuito e open source, che offre molte funzionalità, oltre ad integrarsi con browser molto diffusi come Chrome e Firefox e ad utilizzare un sistema di plugin per espandere ulteriormente le proprie possibilità.
Ecco come si presenta la schermata principale:
Quando si avvia KeePass per la prima volta, viene chiesto di creare un database. Questo database, file con estensione .kdbx, conterrà tutte le nostre credenziali e per garantirne la sicurezza viene criptato tramite l’algoritmo AES, un algoritmo così sicuro che viene utilizzato dal governo americano per proteggere i propri documenti più importanti. La parte fondamentale del processo di creazione del database è la scelta della password. Questa deve rispettare le caratteristiche viste in precedenza e sarà l’unica password che dovremo ricordare, l’unica e la sola dato che a ricordare le altre ci penserà il programma stesso. Una volta creato il database, si può cominciare ad utilizzare il programma.
Torniamo ad analizzare l’interfaccia. Come si può vedere nella foto sono presenti due “tab”, due schede: “NewDatabase.kdbx” e “MyDatabase.kdbx”, questo per dimostrare che il programma può gestire più database contemporaneamente ed indipendentemente l’uno dall’altro, anche se credo che per il 99% degli utilizzatori un unico databse sia più che sufficiente. In alto c’è il classico menù testuale con al di sotto il menù ad icone, che è quello che verrà utilizzato più frequentemente. Cliccando la quinta icona da sinistra, la chiave gialla con una freccia verde, possiamo aggiungere manualmente le nostre password mediante questa schermata:
Un indicatore colorato ci dà un’idea dell’efficacia della nostra password. Possiamo inserire ogni tipo di password, sia di siti e servizi web, sia password non legate ad alcun indirizzo internet, come account di gioco, posta, pin di telefono o bancomat e via dicendo.
Al di sotto del menù ad icone, sulla sinistra c’è un menù ad albero per la catalogazione delle nostre password. In base alla loro funzione possiamo collocarle suddivise in cartelle, oppure possiamo decidere se lasciarle tutte assieme nella cartella principale. Selezionando una delle cartelle, sulla destra vengono mostrate le credenziali (nome utente, password, indirizzo web, note varie) in essa contenute, mentre facendo doppio click su di una di queste righe possiamo vedere e/o modificare i dati memorizzati. La
schermata per la modifica dei dati è la stessa che abbiamo visto per l’immissione di una nuova password.
All’avvio dell’applicazione, il programma cercherà di aprire l’ultimo database aperto, che nella maggiorparte dei casi sarà anche l’unico database creato. Per permetterne l’apertura, dobbiamo inserire la nostra password:
Come già accennato, KeePass si integra, tramite plugin, con Chrome e Firefox. Nel caso si utilizzi Chrome, per prima cosa si deve installare in KeePass il plugin KeePasshttp, che si occupa di criptare le password nel momento in cui il programma le invia al browser, a garanzia di totale sicurezza. Nel browser bisogna invece installare l’estensione ChromeIPass, che si occupa di interfacciacciarsi con KeePass tramite il plugin KeePasshttp.
A questo punto ogni volta che si aprirà una pagina in cui inserire nome utente e password, se queste credenziali sono presenti nel database di KeePass verranno inserite automaticamente dal programma, altrimenti dovranno essere inserite manualmente e KeePass ci chiederà se vogliamo aggiungere tali credenziali al nostro database.
Il funzionamento tramite database permette a KeePass di essere utilizzato su più computer, tutto quello che bisogna fare è salvare il database su un servizio di cloud hosting come dropbox (per saperne di più su dropbox e sul suo funzionamento vedere qui); in questo modo da qualsiasi computer noi eseguiamo KeePass, avremo il nostro database completo e sempre aggiornato. KeePass è inoltre diponibile in versione “portable”, ossia che non necessità di installazione, in modo da poter essere eseguito ad esempio da penna USB e poterlo così portare sempre con sè.
KeePass è scaricabile da qui: http://keepass.info/index.html
