Questa volta è toccato a Yahoo!, l’ultimo dei casi più famosi di violazione di account, un furto esteso a ben 500 milioni di profili violati nel 2014, account che la stessa azienda sta raccomandando di mettere in sicurezza. Nessun furto di dati riguardanti conti bancari e carte di credito ma la violazione è comunque grave e la cosa più semplice da fare in questi casi è cambiare subito la password.
Le raccomandazioni che riguardano la gestione delle password sono note, le abbiamo descritte anche noi in un post di qualche tempo fa: inventare password complesse (non cedere alla tentazione del solito “1234” o di altre password troppo semplici), non usare la stessa password ovunque e conservare le password in maniera adeguata, per poterle recuperare senza sforzo.
Il tema della sicurezza delle password è molto sentito e va esplorato più a fondo: per questo oggi parliamo dei password manager, quei programmi che permettono di “mettere via” le password evitandoci di esporle al furto, magari conservandole in chiaro su file di testo o nella rubrica dello smartphone.
Un quaderno non va bene per conservare le password?
Il caro, vecchio quaderno o bloc notes è una soluzione che sembra pratica ma non è un “salvavita”, perché:
- tenerlo a casa al sicuro vuol dire non poterlo usare quando si è distanti
- richiede tempo per la gestione e la manutenzione: quando si registra un nuovo account bisogna ricordarsi di segnare non solo la password e le sue modifiche, ma anche il nome utente scelto e il nome del sito
- più aumentano le password (e oggi è facilissimo arrivare ad avere centinaia di account), più è difficile consultarlo per recuperarle
In sostanza, il quaderno per tenere a mente le password è una soluzione accettabile solo per chi fa uso scarso di Internet, si collega da casa ed è registrato a pochissimi servizi online.
I password manager dei browser non sono sufficienti?
I browser hanno molti pregi e uno di questi è la gestione delle password degli account: Chrome, Firefox, Safari e altri browser ci aiutano a usare password diverse per ogni account invece di una sola ovunque, perché sono lì per ricordarle al posto nostro, ma non è abbastanza. Il browser non dice nulla sulla forza delle nostre password, non ci insegna a crearle in maniera adeguata, non ci segnala se abbiamo usato troppe volte la stessa password in giro per il web.
Come dice Wired in un bel pezzo dedicato al tema, il problema è proprio che i password manager dei browser sono pensati per semplificarci la vita e non per renderla più sicura. La comodità prima della sicurezza non è un male in sé, a patto di esserne consapevoli, ma la verità è che spesso questo aspetto viene ignorato ed espone a rischi da non sottovalutare.
I password manager per creare e gestire le password
Qui entrano in gioco i programmi creati apposta per la gestione semplice delle password che vanno oltre l’aspetto della comodità: ricordano le password al posto nostro ma, soprattutto, le proteggono.
Esistono molti password manager spesso ricchi di funzioni extra come la conservazione dei dati delle carte di credito o degli scontrini degli acquisti fatti online, ma quando si parla di password, le funzioni utili che non possono mancare sono:
- la possibilità di creare una password complessa ogni volta che serve, in particolar modo quando si crea un nuovo account su un sito web
- la sostituzione di una password compromessa o che si vuole cambiare per altri motivi
- la capacità di indicare la debolezza di una password
- l’invio di avvisi di sicurezza con l’invito a cambiare la password di un account in pericolo
I password manager, diversamente dai browser, usano una password principale detta master password, per potervi accedere: questa è l’unica, importantissima parola segreta che bisogna per forza ricordare, pena procedimenti lunghi e anche tortuosi per recuperarla.
Quali password manager usare?
Una ricerca veloce su Google propone molti post comparativi che elencano le funzionalità e i pregi di password manager diversi. Qui ne proponiamo due, scelti con il criterio “provati da noi”: sono i password manager che usiamo per proteggere i nostri account personali.
Dashlane
In versione free o a pagamento, Dashlane è un password manager facile da usare anche se ricco di molte funzioni. Dashlane fa tutto quel che serve: crea e gestisce le password e poi monitora il livello di sicurezza generale dell’account, segnalando per esempio se la stessa password è stata usata su troppi siti.
La versione gratuita funziona egregiamente ma ne esiste anche una premium con due vantaggi aggiuntivi: la sincronizzazione tra device e il backup dell’account. Una spesa da valutare se si usano molti device e si gestiscono molte password, personali e anche per lavoro.
KeePassx
Un altro password manager robusto che piacerà soprattutto a chi ama le personalizzazioni: KeePassx, tutto gratuito, permette di organizzare le password in cartelle e sottocartelle e di identificarle al volo grazie alle tante icone a disposizione.
Per i più pazienti nel lavoro di archiviazione delle password, KeePassx come anche Dashlane permette di aggiungere note/promemoria a ogni singolo servizio memorizzato. Chi preferisce aggiungere sicurezza a sicurezza, può aggiungere un livello di protezione extra alla master password usando una memoria esterna.
I password manager sono perfetti?
No, non lo sono, ma hanno performance di ottimo livello e poche storie di attacchi riusciti: LastPass, una delle aziende che conserva i dati dei suoi utenti nel cloud, ha subito un attacco che è subito diventato oggetto di discussione, ma gli hacker non sono riusciti a rubare i dati più importanti, a partire dalle master password.
In realtà, il punto di vista utile per decidere di adottare un password manager non è la sicurezza in termini assoluti ma l’idea di ridurre in maniera significativa i rischi che si corrono usando password troppo semplici, oppure la stessa ovunque: i password manager ci abituano bene, ed è giusto che sia così.
La sicurezza non è mai abbastanza e un altro passo decisivo per irrobustire i nostri account è usare l’autenticazione a due fattori ovunque ci sia la possibilità di farlo, aggiungendo una verifica extra che scatta dopo l’inserimento della password (Google, per esempio, invia un SMS con un codice di accesso da inserire online per completare la procedura): da Google a DropBox a PayPal e Facebook in avanti, conviene cercarla, attivarla e dormire sonni più tranquilli.