Password: come gestirle?

password

Nell’uso dei servizi online, spesso, come identificativo (lo username) ci viene chiesto di usare il nostro indirizzo email e, a meno di non usare indirizzi email diversi per servizi diversi (c’è anche chi lo fa…), finiremo per avere lo stesso identificativo su servizi diversi. Se anche voi vi trovate in questa situazione, non preoccupatevi perché siete in buona compagnia: un sacco di gente usa lo stesso indirizzo email per autenticarsi con Facebook, Dropbox e molti altri servizi online. Per avere un minimo di sicurezza è buona norma usare almeno password diverse: se usassimo la stessa password dappertutto (unito al fatto che già usiamo lo stesso username dappertutto), la compromissione dell’account su un singolo servizio darebbe libero accesso anche a tutti gli altri servizi ai quali siamo iscritti e, magari, anche alla stessa casella email. Con in mano la casella email si può reimpostare la password su tutti i servizi che usano quell’indirizzo per la procedura di reimpostazione della password, e via col domino… roba da far tremare i polsi. Purtroppo avere la password hackerata non è una cosa da film di fantascienza, o che capita solo alle spie: è di poche settimane fa la notizia che Adobe (quelli di Acrobat, Photoshop e Flashplayer: gente seria, insomma) si è lasciata rubare da misteriosi hacker il database con le password di circa 150 milioni di utenti (http://www.theguardian.com/technology/2013/nov/07/adobe-password-leak-can-check). Quando impostate la password per un servizio, non fidatevi mai troppo e sceglietela “sacrificabile” nel senso che, se diventa pubblica, il danno resti circoscritto. Ergo, usate una password diversa per ogni singolo servizio al quale vi iscrivete.

Bene, password diverse. Ma come faccio a gestirle tutte? Sono iscritto a decine, se non centinaia, di servizi diversi!

Di metodi ce ne sono tanti. Iniziamo dai più semplici e immediati, per passare ai più complessi ma anche più comodi e sicuri.

Il file delle password

Mantenere un file di testo in cui si annotano tutte le password dei vari account è già un primo passo. Ma ci sono delle controindicazioni. La prima riguarda la sicurezza. Pensateci: se il file finisce nelle mani sbagliate (ci rubano il PC o cadiamo vittima di un attacco informatico) potremmo spargere ai quattro venti i nostri segreti… avere il file delle password in chiaro sull’hard-disk non è molto meglio che averlo appeso alla bacheca dell’università: ci mettereste mai le credenziali dell’home-banking? La seconda controindicazione riguarda la comodità: è molto scomodo fare “copia e incolla” dal file delle password alla finestra del browser ogni volta che si deve inserire una password. La terza controindicazione riguarda la disponibilità: se il file sta sul PC di casa, non lo posso usare sul computer dell’ufficio, oppure sullo smartphone. È vero che ci sono tecniche per alleviare tali inconvenienti (penso all’uso congiunto di Dropbox e Truecrypt), ma, come vedremo, metodi più avanzati – e studiati espressamente per questo – sono più efficienti, comodi e sicuri.

Affidarsi al sistema operativo

I sistemi operativi più evoluti (Mac OS X e GNU/Linux, ma non Windows) forniscono preinstallati software per la gestione delle credenziali e delle password. Applicazioni come “Gestione Portachiavi” (Keychain) di Mac OS X, o seahorse di Gnome si integrano bene con il sistema operativo (consentono, ad esempio, di copiare in automatico le password nelle finestre di dialogo quanto ci si connette ad una risorsa di rete, oppure nel browser ed espongono una API utilizzabile da altri programmi) e sono sicuri, nel senso che non salvano le password in chiaro sul disco rigido. Resta tuttavia un limite importante: sono solitamente circoscritte ad un unico “ecosistema”. Difficile accedere alle proprie password da altri dispositivi, specie se usano sistemi operativi di tipo differente. Apple è, da questo punto di vista, un passo avanti, perché con le ultime versioni di iOS e Mac OS X è possibile condividere lo stesso database delle password tra tutti i dispositivi connessi allo stesso account iCloud. Ma se si passa ad Android, Windows o Linux, si rimane comunque tagliati fuori.

Uso di un programma specifico

La richiesta di sistemi migliori, integrati e in grado di oltrepassare i confini del singolo ecosistema ha consentito la creazione di un mercato di applicazioni – anche a pagamento – per la gestione delle password. Le scelte vanno dalle soluzioni esclusivamente a pagamento, passando per quelle “freemium”, fino ad arrivare a quelle opensource. Qui illustrerò un rappresentante per categoria, scegliendo tra quelle applicazioni che possono generare password casuali “sicure” (cioè abbastanza lunghe e variegate da essere difficilmente memorizzabili da un umano, ma da avere la giusta entropia per risultare ostiche agli attacchi del tipo “a forza bruta”).

Come soluzione a pagamento (si parla di $49,99 per una licenza multipla Mac OS X + Windows) quella universalmente riconosciuta come riferimento è senz’altro 1Password di AgileBits (https://agilebits.com/onepassword). Ignorando completamente il desktop Linux, fornisce però una soluzione completa per tutti gli ambienti proprietari che vanno per la maggiore: ci sono client nativi per Windows, Mac OS X, iOS, Android, oltre ai plugin per Chrome, Firefox, Safari, Internet Explorer che consentono di inserire e registrare password direttamente dalle pagine web. È supportata la sincronizzazione tra i vari dispositivi, sia utilizzando servizi esterni, come Dropbox, sia direttamente tramite rete locale (WiFi o ethernet).

Alla categoria freemium (caratteristiche di base gratis, caratteristiche premium a pagamento) appartiene LastPass (https://lastpass.com/). Ha caratteristiche molto simili a quelle di 1Password, con la differenza sostanziale che la sincronizzazione tra dispositivi può avvenire solo attraverso il server interno di LastPass, e sottoscrivendo un abbonamento da $12,00 all’anno.

Infine, come prodotto opensource di riferimento, c’è KeePass (http://keepass.info/) che ha un unico client nativo scritto in Mono (quindi gira un po’ su tutti i sistemi operativi), ma non ha plugin per i browser. Per sopperire alla mancanza dei plugin c’è però una bella funzionalità, denominata Auto-type, che serve a far digitare a KeePass – come farebbe un robot – username e password in una finestra qualsiasi. Inoltre, essendo opensource: a) tutti possono verificare che gli algoritmi usati siano fatti come si deve, senza debolezze o furbate; e b) chiunque può sviluppare un client compatibile per qualsiasi dispositivo (e, in effetti, KeePass è, tra quelle esaminate qui, l’applicazione presente sul più alto numero di piattaforme). Per la sincronizzazione ci si può affidare ad un servizio esterno, come l’ubiquito Dropbox.

Debite conclusioni

Gestire opportunamente le proprie password, con gli strumenti giusti, può essere semplice e per nulla costoso. Che aspettate? Muovetevi: non ci sono più scuse per usare la stessa password dappertutto!

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...