Non è possibile.
Ma sceglierne una buona sì.
Partiamo da una premessa che vedrai spesso in questo sito: la sicurezza informatica consiste nel mettere in atto tutte le misure di protezione e le buone pratiche possibili per ridurre il rischio di subire una breccia, di beccarsi un virus, ecc ecc… MA non si è mai al sicuro al 100%.
E c’è sempre una fattore del tutto imprevedibile da considerare: ciò che sta tra la sedia e la tastiera. Il fattore umano.
Ma allora possiamo comunque dormire sonni ragionevolmente tranquilli? Sì.
Facciamo innanzitutto una valutazione dei rischi.
Da dove arrivano i pericoli?
Vediamo quali sono i possibili attacchi che potremmo ricevere:
- attacco manuale che mira a indovinare la nostra password
- esempio: qualcuno prova ad inserire come password il nome del nostro cane seguito dai numeri che rappresentano il mese e l’anno in corso
- attacco automatico fatto da programmi che:
- provano le password più utilizzate
- esempio: 123456, iloveyou, …
- provano le password e le combinazioni di pezzi di password più utilizzate
- esempio: qwerty56, TrottolinoAmoroso90, …
- programmi che provano in sequenza combinazioni casuali di caratteri
- esempio: aaaaaaaa, aaaaaaab, aaaaaaac e così via…
- provano le password più utilizzate
- attacco che sfrutta credenziali sottratte dagli archivi dei servizi online
- esempio: un forum subisce una breccia, chi attacca tenta di accedere ai social con le stesse email e password
- attacco che sfrutta credenziali sottratte dai tuoi dispositivi
- esempio: tramite un virus riescono ad installare un programma che registra costantemente quello che scrivi, dove lo scrivi e se lo copiano
- attacco che sfruttando un momento di distrazione ti fa scrivere utenza e password in un sito simile a quello originale, ma che non lo è
Una password non deve…
Dai pericoli elencati precedentemente deriva che:
- la stessa password non deve essere utilizzata per più servizi
- la tua password non deve essere facile da indovinare
- la tua password non deve essere tra quelle ovvie, usate da tutti
- la tua password è tua e tua soltanto, non deve essere condivisa
Costruzione di una buona password
Quanti caratteri?
Una buona password più è lunga e meglio è. Ciò ti costringerà anche a utilizzare un testo che è poco ovvio.
Ma stabilire una quantità di caratteri non è facile e dipende da molti fattori. Primo su tutti quale tipo di caratteri usi e se stai inserendo caratteri a caso oppure parole di senso compiuto.
Poiché leggendo questo articolo scoprirai che a mio parere le password migliori sono quelle formate da almeno 4 parole di almeno 5 caratteri ciascuna (vedremo quali) e quelle generate dai programmi che gestiscono le password, secondo me una password deve avere almeno (come minimo!) 20 caratteri.
Quali caratteri?
Tutti i tipi di caratteri che puoi usare.
Scoprirai che alcuni servizi (siti o app) limitano il numero e il tipo di caratteri che si possono usare (già…). Tu però cerca sempre di usare tutti i tipi di carattere che trovi sulla tastiera:
- lettere minuscole
- lettere maiuscole
- numeri
- caratteri speciali, come !£$&?…
Se il servizio ha qualche limitazione ti verrà chiesto di modificare la password scelta, quindi fai attenzione ai messaggi di errore che solitamente compaiono scritti in rosso o in riquadri evidenziati.
Cervellotica o facile da ricordare?
Entrambe 🙂
Personalmente prediligo una combinazione di almeno 4 parole che può costituire una specie di frase abbastanza facile da ricordare. Utilizzo parole provenienti da diverse lingue e infine inserisco qua e là dei caratteri speciali e dei numeri.
Queste saranno le password più importanti che vanno memorizzate, scritte (vedremo come in un altro articolo), conservate distintamente da tutte le altre e nel posto più sicuro o improbabile di casa vostra (scegliere il posto giusto è un po’ come scegliere una buona password…).
Extra
Infine aggiungi sempre elementi a caso.
Ad esempio se hai deciso di utilizzare un insieme di 4 o 5 parole inserisci sempre almeno un carattere speciale nelle parole (sì, hai letto bene: all’interno delle parole, non tra le parole, che dai era troppo ovvio).
Oppure una parola di tua invenzione che sai tu e tu soltanto.
Un esempio?
Partiamo da qualcosa che conosciamo e poi procediamo per variazioni successive:
- Romeo er mejo gatto del colosseo
- Paletto er mejo pezzo della torre eiffel
- Paletto er mejo primo pezzo della Torre eiffel
- Paletto er mejo 1o peZZo de que$sta Teiffel
- Paletto er mejo 1o peZZo de que$sta Teiffel
- Palettoer1opeZZod|eiffel
Come avete visto alla fine c’è stato un passaggio di semplificazione.
Nella mia esperienza 3 o 4 password simili se ripetute molte volte si possono memorizzare, di più non ho mai provato. E sì, sono lunghe da digitare, ma ne vale la pena.
Ok, però sono davvero tante le password da inventare, ricordare, annotare…
Vero.
Al netto delle password più importanti (email principale, banca, identità digitali, pc, password master) per tutte le altre password suggerisco di utilizzare un password manager, ossia un programma che vi permette di memorizzare le password per ogni servizio in modo sicuro.
Personalmente quando sono al computer utilizzo KeePassXC per tutte le password (tranne quelle che so a memoria) e poi Bitwarden per sincronizzare una manciata di password secondarie che mi potrebbero servire anche nel telefono. In molti casi non mi faccio scrupolo a resettarle tramite email se mi servono quando sono lontana dal mio pc.
Misure extra da mettere in atto
- attiva l’autenticazione multi fattore, MFA (ne parleremo in un altro articolo)
- se il servizio lo consente attiva il blocco dopo un certo numero di tentativi errati di inserimento della password
In conclusione
Rileggendo questo articolo ecco la riflessione più importante che ti invito a fare: “Quanto sono unici il processo e le parti che hai scelto per creare la tua password? Qualcun altro potrebbe fare lo stesso ragionamento?”.
Fonti.
Nel corso degli anni ho letto vari articoli di fonti che reputo valide, ma di recente mi sono concentrata su queste:
- https://palant.info/2023/01/30/password-strength-explained
- https://www.ncsc.gov.uk/blog-post/three-random-words-or-thinkrandom-0 (ma raccomando almeno 4 parole; il National Cyber Security Centre è l’agenzia governativa del Regno Unito che si occupa di cybersicurezza)
- https://proton.me/blog/protonmail-com-blog-password-vs-passphrase
- https://proton.me/blog/how-long-should-my-password-be
Risorse col dono della sintesi
- https://www.youtube.com/watch?v=pMPhBEoVulQ (tranne il suggerimento su LastPass, che potrà essere nuovamente consigliato quando avrà risolto i suoi problemi, questo video è ancora attuale, sintetico e fatto bene)