Memorizzare password e gestirle in sicurezza

Oggi utilizziamo decine e decine di password. Per accedere ai vari account utente ed ai servizi online tipicamente si utilizza una coppia di credenziali formata da nome utente e password.
La maggior parte degli utenti fa uso di username e password per accedere a qualunque servizio online. La password, quindi, riveste ancor’oggi un’importanza fondamentale perché è spesso l’unico lasciapassare per l’accesso ad informazioni personali e dati sensibili.

Memorizzare le password e gestirle in sicurezza è quindi uno dei problemi con cui tutti, prima o poi, sono chiamati a confrontarsi.
Come scegliere una password efficace, come memorizzare le password in sicurezza evitando che possano cadere nelle mani di malintenzionati ma, allo stesso tempo, renderne pratico l’utilizzo, ci sono strumenti alternativi alle password per effettuare l’autenticazione?

Scegliere una password sicura

Si tratta, questo, di un aspetto che purtroppo – ancora oggi – viene trattato con superficialità dalla maggior parte degli utenti. Scegliere una password sicura consente di mettersi al riparo dalla maggior parte dei problemi.

Indipendentemente dal servizio al quale ci si sta registrando, è sempre bene scegliere una password che contenga caratteri alfanumerici, possibilmente anche simboli (ad esempio caratteri speciali come !, $, %). La password dev’essere quindi complessa e non deve quindi essere basata su termini contenuti per esempio in un dizionario (parole di uso comune).
Inoltre, non si dovrebbero mai usare date di nascita, luoghi, nomi di persona (parenti, amici, conoscenti), nomi di animali ed altre informazioni personali.
Per un malintenzionato è facile ad esempio recuperare informazioni personali su un utente (ad esempio da un social network come Facebook) e provare ad utilizzarle per verificare che non siano state impiegate come password sui vari servizi.

Una buona password, impostata secondo le indicazioni riportate, dovrebbe poi essere lunga almeno 10 caratteri.
Un malintenzionato interessato a violare la password di un utente può utilizzare diverse metodologie per cercare di recuperarla. Nel caso di password non presenti su un dizionario e non basate su nomi comuni ed informazioni personali facilmente reperibili, l’unica maniera è utilizzare un attacco brute-force che consiste nel risalire alla password andando per tentativi successivi.

Quanto più la password è complessa (mix di lettere maiuscole e minuscole, numeri, caratteri speciali) e lunga (numero complessivo di caratteri che la compongono) tanto più tempo sarà necessario per “indovinarla”.
In alcuni casi, in forza della complessità e della lunghezza della password, il suo recupero potrebbe essere impossibile, almeno con le risorse computazionali di tipo tradizionale.

Sì, perché chi è determinato a recuperare una password può affidarsi a strumenti cloud che permettono di utilizzare una batteria di sistemi per elaborare rapidamente, ogni secondo, un numero molto più elevato di possibili combinazioni rispetto a quanto potrebbe fare, ad esempio, un semplice PC desktop. In passato abbiamo ad esempio spiegato come un tool come Cloudcracker possa aiutare a violare la password di una WiFi (Craccare reti WiFi: accedere alle reti WiFi protette).

Utilizzando la potenza di calcolo delle moderne GPU (processore installato sulle schede grafiche) è possibile velocizzare notevolmente gli attacchi brute-force: L’impatto del cloud e delle moderne GPU sulla crittografia.

Una password di sette caratteri è ormai da considerarsi inadeguata dal momento che le GPU più potenti facilitano drasticamente gli attacchi di tipo “brute force“. Le GPU di alto profilo possono elaborare informazioni al ritmo di due teraflops (con il termine “teraflops” si indicano mille miliardi di operazioni in virgola mobile al secondo); un valore che pareva fantascienza appena dieci anni fa.
Quando Nvidia ha rilasciato un pacchetto di sviluppo per le sue schede video, l’azienda ha fornito ai programmatori gli strumenti per interfacciare le loro applicazioni con la GPU utilizzando il linguaggio C. Da qui all’ideazione di utilità in grado di effettuare il “brute forcing” delle password, il passo è stato breve.

Va detto che molti famosi siti web bloccano i tentativi di brute-force perché impediscono il login a chi abbia sbagliato per “n” volte l’introduzione della password.
A volte, però, ciò non è sempre vero, come accaduto nella famiglia Apple. In quel caso, grazie ad una lacuna della funzionalità “Trova il mio telefono” (che di fatto non bloccava attacchi brute-force), alcuni aggressori furono in grado di violare gli account di molte persone famose e razziare il contenuto di iCloud: Foto dei VIP: sottratti da iCloud i backup degli iPhone.
In quel caso l’attacco brute-force, combinato con l’utilizzo di password deboli, permise agli aggressori di recuperare dati personali che avrebbero dovuto restare riservati.

Qual è la migliore strategia per scegliere una password sicura? Ecco alcune semplici regole:

1. Non usare mai password contenenti nomi comuni o dati personali
2. Non usare mai password contenenti termini presenti in un dizionario
3. Impostare password lunghe sempre almeno 12 caratteri
4. Inserire nella password mix di caratteri alfanumerici (numeri e lettere, sia maiuscole che minuscole) e possibilmente anche caratteri speciali (esempio: !, $, %)
5. Non utilizzare mai la stessa password su più servizi online
6. Non comunicare mai, per nessun motivo, le password a terzi
7. Attenzione all’eventuale “domanda di sicurezza”: non fornire mai risposte banali od impostare domande la cui risposta possa essere facilmente desunta attingendo alle informazioni pubblicate, ad esempio, su un social network
Come spiegato nell’articolo Facebook username e password: come vengono rubati, come difendersi non bisogna mai impostare domande di sicurezza, per la reimpostazione della password nel caso in cui questa dovesse essere dimenticata, la cui risposta sia nota ad altre persone.
Niente date di anniversari, niente nomi di animali domestici, niente nomi di parenti e conoscenti, insomma.
Come misura di sicurezza aggiuntiva, si dovrebbero usare account email possibilmente non noti a terzi.

Le regole sopra riportate devono essere applicate nella loro interezza, senza dimenticarne nessuna.

Per verificare se una password è forte e quindi adeguata per proteggere un account, è possibile utilizzare questi due siti web:
– How secure is my password?
– Microsoft Password Checker
– Password Meter

Il primo sito suggerisce, ad esempio, quanto tempo può essere necessario per sferrare un attacco brute-force vincente nei confronti della password digitata dell’utente usando un PC desktop.
Seguendo le istruzioni sopra riportate, una password lunga 10 caratteri sarebbe teoricamente recuperabile, con un PC normale, in 58 anni di tempo. Aggiungendo un solo carattere in più, si noterà come il recupero indicato passerà a circa 4.000 anni.

Ricordo il commento di un lettore di qualche tempo fa: “sono servizi stupidi perché ho digitato il mio codice fiscale e viene indicato come forte“.

Da un punto di vista di un attacco brute-force, considerate le possibili combinazioni che debbono essere provate, il codice fiscale viene considerata una password forte.

Il codice fiscale, per quanto sia sufficientemente lungo e contenga caratteri alfanumerici, non dovrebbe però mai essere usato come password per le ragioni illustrate in precedenza.
Non si deve mai utilizzare come password un’informazione che può essere agevolmente ricostruita od indovinata da terzi (il codice fiscale deve essere posto sullo stesso piano dei nomi di persona, dei nomi degli animali domestici, delle date di nascita e così via).

L’ultimo servizio (Password Meter) è dedicato ai “palati fini”. Per ciascuna password digitata, Password Meter effettua un’analisi alla ricerca del numero di caratteri utilizzati e delle diverse tipologie degli stessi: vengono quindi forniti consigli pratici per migliorare la “sicurezza” della password scelta. La piccola icona di colore blu evidenzia che, per la corrispondente caratteristica, la password indicata supera i requisiti minimi di sicurezza. L’icona verde, invece, sta a significare che si sono rispettati gli standard minimali mentre le altre due – gialla e rossa – evidenziano che la parola chiave introdotta potrebbe essere recuperata a causa di alcune sue “debolezze”.

Infine, ed è questo uno degli errori che spesso, espongono a notevoli rischi, non bisogna mai utilizzare le stesse password su più servizi.

Memorizzare password: password manager del browser

Una volta capito come scegliere password sicure, si pone il problema, tutt’altro che banale, della loro memorizzazione.

Diciamo subito che il password manager integrato nel browser dovrebbe essere, se possibile, evitato. È comodissimo lasciare memorizzare al browser le credenziali d’accesso ai vari siti web (operazione che consente di evitare di digitare nome utente e password) ma questa comodità si paga in termini di sicurezza.

Innanzi tutto, chiunque sia in grado di accedere al computer, può agevolmente recuperare le password altrui attingendo al contenuto del password manager del browser.

Utilizzando gli strumenti per il recupero password del browser di Nirsoft (effettuare una ricerca in Rete per nirsoft recover password), si avrà modo, inoltre, di verificare quanto sia semplice recuperare le password da tutti i principali browser (Chrome compreso).

Un’eccezione è rappresentata da Firefox qualora l’utente abbia impostato una master password ossia una password a protezione dell’archivio delle password memorizzate nel browser.

La “password principale” o master password si può impostare nel password manager di Firefox accedendo alle opzioni del programma quindi cliccando sulla scheda Sicurezza ed infine spuntando la casella Utilizza una password principale.

C’è però un “ma”. È vero che Firefox usa la crittografia per proteggere l’archivio delle password ma il password manager è comunque vulnerabile ad un attacco brute-force ben effettuato, soprattutto se la master password scelta non è sufficientemente lunga e complessa (vedere le regole precedenti per la scelta della password).

Dal momento che la maggior parte degli utenti che attivano la protezione del password manager di Firefox con una master password semplice, questo non dà garanzia di assoluta sicurezza.

Inoltre, le estensioni che si installano in Firefox hanno completo accesso a tutto il browser, compreso l’archivio delle password: ecco perché è indispensabile selezionare con la massima attenzione le estensioni che si caricano (a questo proposito, vedere anche questo commento).

Per non parlare del fatto che, a parte su Firefox con una master password impostata, chiunque abbia accesso al computer altrui può agevolmente visualizzare la password nascosta dagli asterischi (o puntini) usando un espediente semplicissimo, senza neppure aprire il password manager del browser: Mostrare le password nascoste sotto asterischi e puntini nel browser web.
In breve, basta accedere al sorgente HTML della pagina e modificare la tipologia del campo password da “password” a “text”: in questo modo si vedrà apparire la password in chiaro.

Ecco perché i password manager integrati nei browser web non forniscono, in generale, elevati standard di sicurezza.

Nell’articolo Recuperare password nel browser: come fare con Firefox, Chrome ed Internet Explorer come funzionano i password manager dei browser web e come provare anche il recupero della master password di Firefox.

Memorizzare password: KeePass ed altri gestori di password da installare in locale

Uno dei migliori strumenti per memorizzare le password in sicurezza e gestirle separandole dal browser web consiste nell’utilizzo di un programma come KeePass.
La lista completa delle password viene conservata da KeePass in un archivio crittografato, il programma consente la compilazione automatica dei form online (facilitando così l’inserimento delle credenziali d’accesso) e viene distribuito anche nella comodissima versione portabile.

La versione portabile si rivela utilissima perché può essere conservata, ad esempio, in una chiavetta USB ed eseguita da tale supporto. L’importante è effettuare con regolarità un backup dell’archivio crittografato delle password: nel caso in cui la chiavetta USB si dovesse danneggiare, si avrà sempre a disposizione un backup delle proprie credenziali d’accesso.

Una completa guida all’uso di KeePass è pubblicata nell’articolo Mettere al sicuro le credenziali d’accesso con KeePass. Come importarle da qualunque browser.

Una valida alternativa a KeePass è l’italiano SicurPas, software freeware che abbiamo presentato nell’articolo Proteggere le password ed effettuare login automatici con Sicurpas 4.0 Pro.

Attivare l’autenticazione a due fattori

Alcuni siti e servizi online consentono di attivare la cosiddetta autenticazione a due fattori.
Si tratta di un meccanismo che permette di autenticarsi non soltanto con la semplice coppia username-password. Accanto all’utilizzo delle classiche credenziali, bisognerà utilizzare un secondo fattore. Attivando l’autenticazione a due fattori, prima di concedere l’accesso all’utente, viene effettuato un secondo controllo su qualcosa che egli possiede (un oggetto) o su una sua caratteristica fisica (si pensi ai meccanismi di riconoscimento biometrico; ad esempio il rilevamento di un’impronta digitale).

Per essere certi che nessuno possa essere in grado di accedere al proprio account, accanto all’utilizzo di nome utente e password è possibile abbinare un secondo fattore attivando, appunto, l’autenticazione a due fattori.
Nelle implementazioni più comuni, il sito web inviterà ad installare un’applicazione oppure a fornire il numero di cellulare: per eseguire l’accesso si dovrà non soltanto digitare nome utente e password ma inserire anche il codice ricevuto sul proprio dispositivo mobile via SMS o mostrato in un’apposita app.

Nel caso di account Google, abbiamo parlato dell’autenticazione a due fattori nell’articolo Sicurezza account Google: come proteggersi dagli attacchi.

Utilizzo di token USB FIDO

Per evitare di dover digitare le credenziali d’accesso, si possono utilizzare i token USB FIDO.
Si tratta di speciali chiavette USB che dispensano l’utente dal dover inserire username e password.
Google già le supporta da qualche tempo per consentire l’accesso ai suoi servizi online (vedere questa pagina) e l’articolo Login sull’account Google con il token USB FIDO.

Microsoft, inoltre, ha confermato che supporterà i token USB FIDO per l’accesso ai suoi account oltre che per il logon su Windows 10: Windows 10 e l’autenticazione senza password con FIDO.

Chi volesse provare un token FIDO può acquistarne uno, ad esempio, su Amazon a questo indirizzo.