Da più parti si sta cercando di abbandonare progressivamente l’utilizzo delle password.
Per gli account Microsoft è possibile il login senza usare password grazie all’autenticazione a due fattori mentre ad esempio Google da ottobre 2021 ha deciso di attivare la verifica in due passaggi su milioni di account che fino ad allora si servivano esclusivamente di username e password.
Anche attivando l’autenticazione a due fattori, quando ci si iscrive a un nuovo servizio online o si apre un nuovo account si deve generare una password. La coppia username-password resta essenziale ancora oggi per utilizzare molteplici servizi online.
Generare password efficaci, con una lunghezza sufficiente, costituite da lettere, numeri, simboli e create in modo pseudocasuale senza quindi utilizzare termini presenti in un dizionario o informazioni che possano in qualche modo essere indovinate da altri utenti non è semplice.
Sempre più spesso sia possibile effettuare la registrazione usando l’accesso con Google, Microsoft, Facebook, Twitter, LinkedIn, GitHub (protocollo OAuth): accettando la condivisione di qualche dato personale (che viene chiaramente esplicitato) ed effettuando l’accesso con un account di terze parti è possibile evitare la scocciatura di registrarsi con nome utente e password.
Nell’articolo richiamiamo l’attenzione su alcune problematiche di sicurezza che non possono essere sottovalutate.
Nonostante tutto, però, le password restano molto comuni e il loro utilizzo rimane diffusissimo: lo dimostra il successo dei password manager online quali LastPass, Dashlane, NordPass e così via.
A suo tempo avevamo presentato uno studio sulla sicurezza dei password manager invitando però gli utenti a non usare quelli integrati nei browser.
I gestori di password dei browser sono infatti intrinsecamente insicuri: ne parliamo ad esempio nell’articolo in cui spieghiamo come e dove trovare le password salvate.
Chi non volesse usare password manager basati sul cloud può comunque ripiegare su soluzioni che lavorano in locale come KeePassXC, Psono, molto adatto per l’uso in team e in azienda.
Generatore password: a cosa serve e quale scegliere
Niente è più frustrante che creare password.
Per generare una password forte mettere insieme 12 o più caratteri, numeri e lettere spesso diventa una sfida.
Un generatore di password forti aiuta a creare password efficaci da usare sui vari servizi scongiurando il rischio di attacchi brute force. In questo modo si evita l’utilizzo di password eventualmente “indovinabili” da malintenzionati e criminali informatici.
Una buona password dovrebbe sempre essere formata da un minimo di 12 caratteri, utilizzare lettere maiuscole e minuscole, includere numeri e simboli. La password, inoltre, non deve essere legata a informazioni personali e non si devono mai usare parole presenti in un dizionario italiano, inglese o in altra lingua.
Se il servizio gestisce informazioni personali e dati sensibili il suggerimento è quello di scegliere password con una lunghezza ancora superiore.
L’uso di un generatore di password permette di ottenere password complesse minimizzando i rischi.
Generare una password sicura con Chrome ed Edge
Sia Chrome che Edge integrano un meccanismo che permette di generare password sicure.
Si pensi a un classico modulo di registrazione online per l’attivazione di un nuovo account: non appena si fa clic sul campo Password in Chrome ed Edge compare la voce Suggerisci password efficace.
Nel caso in cui Suggerisci password efficace non dovesse comparire, è sufficiente cliccare con il tasto destro sul campo Password quindi selezionare Genera password.
Il fatto è che sia con Chrome che con Edge per poter utilizzare il generatore password è necessario accedere alle impostazioni del browser quindi fare clic sul pulsante Attiva la sincronizzazione. Questo significa che le credenziali di accesso vengono memorizzate sui server di Google o di Microsoft in forma crittografata per poi essere sincronizzate con qualunque altro dispositivo ove risulti in uso lo stesso account utente.
In un nostro approfondimento abbiamo visto cosa significa sincronizzare Chrome e accedere ai dati, password comprese, da più dispositivi.
Generatori di password online
Cercando sul Web i migliori generatori di password si trovano decine di servizi online che permettono di creare nuove password rispettando i criteri fissati dall’utente.
La domanda che molti si pongono è: l’azienda che offre il servizio salva in qualche modo le password generate? Ne conserva una copia lato server?
Possiamo dire che servizi come LastPass, Dashlane, NordPass, 1Password, Bitwarden sono sicuri e possono essere tranquillamente usati per la generazione delle password.
Un ottimo generatore password online è quello di Roboform: l’intero processo di generazione avviene in locale utilizzando codice JavaScript caricato sul sistema client dell’utente senza alcuno scambio di dati con i server remoti.
È facile verificarlo: premete CTRL+MAIUSC+N
per aprire la modalità di navigazione in incognito. In questo modo non viene caricato alcun cookie sul sistema client.
Premete quindi il tasto F12
in Chrome o in Edge per aprire gli Strumenti per gli sviluppatori, cliccate sulla scheda Network visitate la home page di Roboform Generatore di password casuale. Vedrete che cliccando su Genera nuova non viene attivato alcuno scambio di dati con i server di Roboform, neppure a fini statistici (come invece fa la maggioranza degli altri generatori password online).
Provate a fare la stessa cosa con altri generatori di password online: nella scheda Network al momento della generazione di nuove password vedrete apparire altre richieste corrispondenti a ulteriori scambi di dati.
Generare password sicure in locale
La maggior parte dei gestori di password online che abbiamo citato in precedenza permettono di generare password sicure anche in ambito locale.
In ufficio e in azienda ci si può anche cimentare con l’installazione di Bitwarden su un server locale: in questo modo le password possono essere gestite esclusivamente in ambito locale con la possibilità per i client di accedervi in modo sicuro. Ogni utente può servirsi del generatore di password integrato.
Su Windows, macOS e Linux si può installare KeePass, password manager che include anche un generatore di password oppure il più moderno KeePassXC citato in precedenza.
Per generare password su Android si può utilizzare Keepass2Android che non soltanto permette di accedere agli archivi delle varie “declinazioni” di KeePass attraverso la rete ma consente di generare password da utilizzare altrove: basta toccare il pulsante “+” quindi specificare i criteri per la generazione della password.
Spuntando la casella Exclude look-alike characters si evita che nella password creata vengano usati caratteri che possono essere facilmente confusi come la “L” minuscola con la “I” maiuscola oppure lo zero con la lettera “O”.
Keepass2Android può essere impostato affinché cancelli periodicamente il contenuto degli appunti. In questo modo altre app Android non possono recuperare le password ivi temporaneamente memorizzate.
Utilizzando KeePassXC e KeePassDX sullo smartphone è possibile salvare le password e sincronizzare le credenziali tra più dispositivi compresi PC, smartphone e tablet.
Usare PowerShell in Windows per generare password casuali
Da ultimo menzioniamo anche la possibilità di generare password casuali da una finestra PowerShell in Windows.
Per aprire PowerShell basta premere Windows+X
quindi scegliere Windows PowerShell o Terminale Windows a seconda che si utilizzi Windows 10 o Windows 11.
Portatevi quindi a questo indirizzo, selezionate tutto il codice (CTRL+A
) e incollatelo nella finestra di PowerShell (CTRL+V
) premendo infine il tasto Invio.
Digitando semplicemente Get-RandomPassword 8
si ottiene una password casuale da 8 byte.
È però possibile usare la sintassi seguente per ottenere la password desiderata:
Ad esempio digitando ciò che segue si ottiene una password lunga 12 byte formata da almeno 3 maiuscole, 3 minuscole, 2 numeri e 2 caratteri speciali.
Il codice PowerShell è stato sviluppato da Armin Reiter e utilizza la classe RNGCryptoServiceProvider
come generatore di numeri casuali.
In conclusione abbiamo visto che una password deve essere sempre scelta dall’utente in maniera tale da essere sufficientemente forte e quindi difficile da indovinare. Contano però, e tanto, anche le modalità con cui servizi e siti web conservano le password sui loro server.
Se un sito web inviasse all’utente (ad esempio attraverso la funzione Password dimenticata) la stessa password precedentemente specificata al momento della registrazione è palese che le credenziali non vengono conservate in modo sicuro lato server. E come abbiamo rilevato, sono tanti i siti “insospettabili” che salvano le password sul cloud in modo non sicuro.