Lucchetto per password

Come scegliere, generare e gestire password sicure e facili da ricordare per accedere ad account personali di banche online, email e social? Codici di accesso migliori e nuovi sistemi di autenticazione a più fattori per proteggere i dati personali

Le password sono le chiavi dell’era moderna con cui entrare nelle stanze segrete della nostra vita online economica e sociale. Secondo un studio della multinazionale del software Nuance, gestiamo abitualmente un totale di undici account differenti, proteggendo l’accesso con codici alfanumerici differenti. Dato che non riusciamo a ricordarceli tutti, a volte prendiamo delle scorciatoie, ovvero utilizziamo le stesse password o le scegliamo male.

Come non lasceremmo mai le chiavi di casa in balia degli estranei o del caso, la stessa attenzione dovremmo dedicarla alle password. In termini di sicurezza informatica invece si fanno errori gravi, a partire dal scegliere codici con numeri e lettere molto semplici. Email, conti in banca, account social vengono affidati a stringhe del tipo pass1 o 123456 e i furti di credenziali sono molto comuni. Come scegliere e gestire i codici con cura in modo che siano sicure e inespugnabili?

Indice

Password e chiavi sicurezza

Smartphone, smartwatch e tablet molto sofisticati sono sempre più usati nella vita quotidiana. Permettono di comunicare con il mondo e semplificano la vita con operazioni virtuali che fanno risparmiare molto tempo ed evitare code. Ma per accedere alle banche online e fare funzionare ogni altro servizio su internet serve il riconoscimento personale e i codici di accesso stanno notevolmente aumentando, come i furti di identità.

Scegliere password sicure per fare acquisti, operazioni bancarie, attività sui social, spedire email, ovvero identificarsi, è importante da sempre. Ma se l’uomo firma documenti dal tempo delle tavolette babilonesi antiche di oltre 2500 anni, il problema dell’autenticazione personale è fondamentale nel mondo virtuale. Talmente importante che esiste anche una giornata mondiale della password (5 maggio) per riflettere sugli errori che normalmente tutti commettiamo.

Nello scegliere un codice sicuro per difendere i nostri dati personali è necessario rispettare alcune regole partendo dalla realtà di fatti: quasi sempre utilizziamo lettere o numeri sbagliati o troppo semplici. Il 90% dei termini utilizzati per accedere agli account non è efficace per proteggere privacy, dati personali o conti in banca. Internet offre molte risorse ma ci sono anche pericoli da cui è bene sapersi difendere.

Scegliere password sicure

Secondo un recente sondaggio condotto da Keepsecurity, addirittura il 17% degli accessi online vengono eseguiti con la password 123456. A questa stringa qualcuno aggiunge altre due cifre, mentre altri usano parole come qwerty, baseball, dragon, ma non basta. Questi sono alcuni dei nomi peggiori usati da utenti distratti e inconsapevoli, che in questo modo facilitano hacker e malintenzionati di ogni genere a frugare in pc e dispositivi.

I consigli principali per scegliere una password migliore sono questi: considerare lunghezza, complessità e prevedibilità; usare un minimo di 14 caratteri tra lettere maiuscole, minuscole, punteggiatura e spazi; non usare parole reali; utilizzare un codice diverso per ogni account; modificare molto spesso i codici di accesso; mantenere discrezione e segretezza. Infine ricordarsi sempre anche di proteggere l’accesso dello smartphone.

Se per scegliere la migliore password avete seguito tutti i consigli precedenti, come verificare che i codici d’accesso garantiscano effettivamente la massima sicurezza? Kaspersky, uno dei più famosi produttori di antivirus per pc mette a disposizione uno strumento online che di ogni codice indica il tempo necessario per essere craccato da un eventuale hacker che utilizzi un semplice e comune computer.

Gestori di password

Oltre alla generazione di password sicure, uno dei grandi problemi dell’uomo tecnologico è la loro gestione: come ricordarsi decine o centinaia di codici di accesso? In questo ci possono aiutare i gestori di password. Si tratta di veri e propri manager dei codici segreti che utilizzano tecniche avanzate di crittografia, salting (frequenze casuali di parole) e hash e funzioni unidirezionali impossibili da riconvertire.

I password manager non solo memorizzano le password sincronizzandole su tutti i dispositivi come smartphone e pc, ma possono generarle e aggiornarle semplicemente con un tasto. In questo caso basterà utilizzare e ricordare un codice il più possibile infallibile e complicato una sola volta. Tutte le informazioni vengono criptate e memorizzate sui server delle aziende che forniscono il servizio.

Nel caso le password vengano compromesse, attraverso questi manager è possibile non solo scoprilo, ma anche risolvere il problema. Inoltre nel caso di attacco informatico sui server in cui vengno memorizzate, i dati che possono essere rubati sono comunque crittografati in una chiave personale e quindi non utilizzabili. Il grande vantaggio è l’elevata sicurezza utilizzando un’unica password per accedere ad uno dei servizi elencati di seguito.

Migliori password manager

Il primo gestore di password è il browser del computer o dello smartphone. Google Chrome ma anche Microsoft Edge, Mozilla Firefox o i sistemi MacOS, ogni volta che effettuiamo un accesso ad un sito chiedono se vogliamo salvare la coppia nome account e codice di accesso. Questi sistemi sono comodi ma potenzialmente poco sicuri nel caso avvenga un accesso al computer rivelando tutte le chiavi dei nostri account. Esistono poi altri gestori di terze parti.

1password Disponibile per smartphone, pc e tablet e per tutti i sistemi operativi, è un gestore di password a pagamento che sincronizza i dati consentendo di accedere con chiavi crittografate a tutti gli account in modo semplice e sicuro. Avvisa in caso di problemi e di accessi non leciti, ha un plugin per generare e modificare le parole attraverso il browser e funziona anche come app di autenticazione

Bitwarden è un software di gestione di password opensource gratis per tutti i dispositivi nella sua versione base, funziona con tutti sistemi operativi e browser anche in parallelo con l’autenticazione biometrica. Pagando 10 dollari all’anno viene implementato anche uno spazio di archiviazione per file crittografati

Keepass Password manager gratuito realizzato in open source, molto leggero e facile da usare. Consente con un unico codice di accedere in modo sicuro a tutti i servizi online precedentemente inseriti

Dashlane Oltre a gestire le password ha una funzione di controllo degli account che scansiona il web alla ricerca di eventuali furti di dati e problemi sui nostri account personali. Dopo una prova gratis di un mese per il suo utilizzo completo costa 3,99 euro al mese

KeePassXC è un password manager gratuito opensource disponibile per computer Windows e iOs ma non per smartphone

NordPass Funziona attraverso una doppia crittografia che avviene sul dispositivo personale e sui server dell’azienda, come per tutti gli altri gestori e include la possibilità di salvare anche indirizzi personali e numeri di telefono

RememBear Ha una semplice e giocosa interfaccia grafica che lo rende diverso dagli altri manager. Oltre alla facile accessibilità è comunque sicuro e utilizzabile gratis per un solo dispositivo

Keepass Password manager gratis realizzato in open source, molto leggero e facile da usare. Consente con un unico codice di accedere in modo sicuro a tutti i servizi online precedentemente inseriti

Enpass gratis o a pagamento sincronizza i dati con i servizi di Dropbox o NextCloud e non sui server dell’azienda

Keeper Utilizzato da migliaia di aziende per facilità di impiego e di gestione. Nel prezzo è inclusa l’autenticazione a due fattori

Autenticazione a più fattori

La crescita esponenziale dell’utilizzo di password sta facendo aumentare i tentativi di frode che oltre ad essere un pericolo per gli utenti, sono anche un costo per le aziende. La trasformazione digitale va di pari passo all’evoluzione delle pratiche di autenticazione. Se le minacce aumentano, i metodi per autenticarsi diventano più complessi coinvolgendo un ecosistema che dalle password si estende ai dispositivi e alle nostre caratteristiche biometriche.

Nell’era digitale gli ingegneri studiano ogni giorno alternative più sicure per riconoscere una persona online. Google Authenticator ad esempio è una app che implementa una soluzione per l’autentificazione a due fattori dell’account. Anche Microsoft da sempre studia nuovi metodi per accedere ai pc e in Windows 10 ha implementato sul sistema operativo la funzione Hello che permette di sbloccare il proprio dispositivo attraverso l’impronta digitale o il riconoscimento facciale.

Molte app dei servizi bancari sfruttano le impronte digitali e anche Google ha recentemente annunciato un nuovo sistema di verifica FIDO2 che consente di verificare la propria identità e accedere ai suoi servizi senza password, toccando lo schermo. Questo tipo di funzionalità biometriche sono già disponibili sui nuovi telefoni Android e anche se non immuni da rischi rappresentano una importante evoluzione rispetto all’utilizzo delle vecchie password.

Riconoscimento biometrico

Scanner di impronte digitali, dell’iride e riconoscimento facciale sono funzionalità che ritroviamo su molti degli smartphone attuali non solo per sbloccarli senza utilizzare la password, ma anche per riconoscere l’identità delle persone e come sistema per accedere agli account. I cosidetti dati biometrici vengono rilevati attraverso vari sistemi che a loro volta possono essere più o meno sicuri e a prova di hacker. Il livello di sicurezza anche se non sempre è indicato nelle caratteristiche dei telefoni, viene formalmente definito da tre classi sulla base delle tecnologie usate.

Il riconoscimento facciale è un livello base, richiede che i dispositivi sia dotati di una semplice fotocamera e di appositi software, ma se non implementato con altre tecnologie sofisticate può essere hackerato semplicemente con una fotografia del proprietario davanti alla fotocamera. I nuovi iPhone ad esempio, oltre alla normale telecamera hanno una fotocamera a infrarossi (IR) e un proiettore dot per creare una mappa 3D del viso che secondo Apple renderebbe il sistema più sicuro dell’impronta digitale.

Le impronte digitali degli scanner sui telefoni possono essere di tre tipi: capacitivi, ottici e ad ultrasuoni. I primi sono i più diffusi, creano una disegno 2D dell’impronta e potrebbero essere ingannati con una stampante 3D ad alta definizione. Gli scanner ottici fanno una foto dell’impronta e come nel caso del riconoscimento facciale non sono molto sicuri. Quelli ad ultrasuoni invece sono i più sicuri perchè fanno una specie di ecografia emettendo onde ultrasoniche che rimbalanzano sul dito creando una mappa tridimensionale precisa.

I sistemi di riconoscimento biometrico basato sulla scansione dell’iride sono una forma migliore d riconoscimento facciale che oltre al viso fotografa l’iride creando una mappa a infrarossi dell’occhio. Se implementati in modo corretto e sofisticato sono considerati tra i sistemi più sicuri per proteggere l’accesso allo smartphone e agli account collegati.

Nuovi sistemi autenticazione

L’idea che servano sistemi di difesa sempre migliori per difendersi dalle intrusioni, oggi applicata alle reti informatiche, esisteva anche ai tempi del medioevo per proteggere i castelli. Per migliorare ulteriormente l’accuratezza dell’autenticazione fino ad arrivare ad eliminare le password, i dati biometrici possono essere utilizzati in parallelo con informazioni basate sul comportamento, sulla posizione geografica e perfino sulle relazioni personali dell’utente.

Se l’ausilio dei dati personali è fondamentale per proteggere gli account, il loro utilizzo ovviamente deve essere regolato in modo serio per evitare che vengano utilizzati per altre finalità di marketing ed economiche, ma anche politiche e sociali. La stessa intelligenza artificiale che si basa sui dati personali e viene usata da sistemi di autenticazione, potrebbe ad esempio discriminare o favorire determinati gruppi di persone. Garantire il rispetto della privacy, la sicurezza dei dati e l’inclusività dei sistemi di autenticazione è quindi fondamentale per le imprese e per la stessa democrazia.

L’autenticazione senza password per accedere ai servizi online può rappresentare un vantaggio competitivo delle aziende impegnate nella trasformazione digitale, ma deve essere regolata con precisi standard stabiliti dai governi a livello mondiale. I servizi online sono sempre più utilizzati dai governi per interagire con i cittadini e anche il settore pubblico sta investendo energie e denaro in programmi di identità nazionale per migliorare la sicurezza dei servizi pubblici. Lo Spid (Sistema pubblico di identità nazionale) va esattamente in questa direzione.

Autenticarsi con l’orecchio

Dopo password, impronte digitali, riconoscimento della voce o scansione dell’iride, saranno le orecchie a consentire di verificare la nostra identità nel prossimo futuro? NEC sta sviluppando una tecnologia per utilizzare le orecchie come metodo di autenticazione biometrica. La forma del nostro orecchio è unica, come la risonanza acustica che viene generata al suo interno, pertanto i suoni raccolti nella sua prossimità sono diversi per tutti. Per questo l’autenticazione biometrica attraverso l’orecchio è sicura nel 99% dei casi.

Per sbloccare i dispositivi con l’orecchio è necessario uno speciale auricolare che oltre a produrre un brevissimo suono, ha un microfono incorporato che filtra i rumori di fondo e ascolta le caratteristiche del suono di ritorno per identificare l’utente. Anche se apparentemente l’uso di un auricolare per autenticarsi é più complicato che servirsi delle dita o dell’iride, questo sistema potrebbe essere utile per compiere operazioni attraverso servizi telefonici bancari, legali o istituzionali evitando di dovere digitare ogni volta codici di sicurezza e password.

Sisteam trasmissione suoni orecchio