Poco tempo fa abbiamo dedicato un post alla sicurezza informatica e all’igiene digitale come insieme di buone pratiche che ci servono per proteggere la nostra presenza e attività online: abbiamo richiamato i principi delineati da ENISA, l’Agenzia dell’Unione Europea per la Cybersecurity, e torniamo a parlarne concentrandoci sulle password, una delle vulnerabilità maggiori.
Ne parliamo anche perché il prossimo 1 maggio è il World Password Day, giornata dedicata all’importanza di usare password sicure e di adottare buone pratiche per proteggere i nostri account online.
Siamo convinti che sia sempre importante parlare di sicurezza online e renderci tutti sempre più consapevoli di quanto sia importante proteggere le chiavi di accesso ad app, siti, software che usiamo ogni giorno, dallo shopping all’abbonamento a un quotidiano, passando dal nostro conto in banca e altri servizi più che sensibili.
Passiamo quindi dal cosa fare secondo ENISA a come farlo, suggerendo alcuni strumenti utili, spesso semplici da usare e anche gratuiti, che ci garantiscano non solo password robuste ma che ci aiutino anche a monitorare le possibili violazioni.
I gestori di password
La prima cosa da fare, la più semplice e utile: buttare quadernetti, post-it, qualsiasi cosa che riporti le nostre password in chiaro e che sia raggiungibile da qualcuno che non siamo noi.
Dato che uno dei principi più ribaditi per la sicurezza delle password è che queste siano tutte diverse, uniche, il modo migliore per riuscirci e ricordarle è farlo fare a chi non può dimenticarsele: un gestore di password.
I gestori di password sono strumenti per creare e conservare le nostre password: evitano il ricorso a password semplici o facili da individuare (dalla famosa 12345 o qwerty, fino al nome del nostro gatto) perché ci pensano loro a far sì che siano robuste, suggerendole al momento della creazione di un account o quando dobbiamo cambiarle.
Non solo: i password manager inseriscono per noi le password – un pensiero in meno – e possono anche controllare periodicamente se qualche nostro account è stato compromesso, invitandoci a cambiare la password.
I criteri per scegliere un password manager sono diversi, ad esempio tra open-source e proprietario, e senza dubbio uno dei fattori da considerare è se è gratis o a pagamento.
Alcuni tra i password manager più famosi sono:
- Bitwarden: opensource e disponibile anche con un piano gratuito per uso privato
- 1Password: un password manager completo con due piani a pagamento per uso personale, da 2,65 Euro al mese con pagamento annuale
- KeePassXC: se non ami il cloud, è il password manager open source che funziona in locale: il tuo database di password può vivere sul tuo computer o dove preferisci.
Naturalmente esistono molti altri password manager che puoi scoprire con una ricerca online, per poi controllare le loro caratteristiche e scegliere a quale affidarti.
Due altre app da avere che possono interessarti:
- se usi i prodotti Apple, puoi usare l’app Password (solo da IOS 18 e macOS Ventura) per conservare e accedere velocemente a tutte le password, crearle e inserirle in modo automatico, ricevere avvisi se le tue password sono compromesse
- Google Password Manager (in italiano lo trovi come Gestore delle password) che conserva e sincronizza le tue password tra il browser Chrome e il tuo telefono Android. Anche questo gestore ti segnala le password da cambiare se compromesse.
Puoi attivare anche Password Alert per proteggere il tuo account Google: ti basta aggiungerlo a Chrome dal Chrome Web Store e ti avvertirà ogni volta che la password del tuo account Google viene usata per accedere a un sito che non fa parte dell’ecosistema Google.
L’importanza dell’autenticazione a più fattori: una protezione in più
Le password forti e sempre diverse e ben conservate sono fondamentali, ma non bastano. L’autenticazione a più fattori aggiunge ulteriori controlli per avere la sicurezza che chi sta usando la password sia proprio tu, ed è raccomandato attivarla ovunque sia disponibile.
Come funziona? È semplice: dopo aver inserito la password, ad esempio su un sito, ti viene chiesto un passaggio in più, ad esempio l’inserimento di un codice che ti arriva via SMS. In alcuni casi, i passaggi possono essere anche più di due (da cui il nome “a più fattori”), ad esempio un codice inviato via SMS e poi uno via mail, o usando altri metodi più robusti come un codice di autenticazione generato da una app dedicata e il riconoscimento facciale.
Un’alternativa che puoi valutare è una chiave hardware, cioè un dispositivo fisico che serve per verificare la tua identità quando accedi a un account. Naturalmente, la chiave hardware funziona solo se ce l’hai con te quando ti serve, per collegarla al computer o al telefono e confermare che sei tu che stai accedendo al tuo account. Una soluzione è ad esempio YubiKey.
App di autenticazione
Un altro modo per proteggere i tuoi account è usare una app di autenticazione che genera codici temporanei, che durano pochi secondi e poi cambiano.
Quando accedi a un account con una app di autenticazione, dovrai aprirla sul telefono, copiare il codice che visualizzi in quel momento e inserirlo per entrare nel tuo account.
Questo metodo ha un livello di sicurezza maggiore ad esempio di un SMS: una app che puoi provare per questo tipo di autenticazione a due fattori è Authy.
Passkey: accedi ai tuoi account senza password
Le passkey sono un modo più sicuro per accedere ai tuoi account senza usare una password.
In breve, una passkey funziona così:
- al posto di scrivere una password (che potrebbe venire rubata), con una passkey accedi ai tuoi account sbloccando il tuo telefono o il tuo computer, ad esempio con il riconoscimento facciale, una impronta digitale o anche un PIN
- dopo aver creato la tua passkey per la prima volta, il tuo dispositivo, ad esempio il telefono, crea una chiave privata che risiede su di esso e che viene usata per verificare la tua identità a ogni accesso, senza che tu debba ricordare e inserire nulla.
Nessuno, quindi, può indovinare o rubare la tua passkey (la chiave privata non esce mai dal tuo dispositivo), ed è anche una protezione contro il phishing, perché se ti trovi su un sito fasullo che sta imitando un sito che usi normalmente, la passkey non funziona.
Un servizio sul quale puoi usare una passkey è Google, ma ce ne sono già molti altri: per conoscere meglio questo sistema, ti può dare una mano proprio la guida di Google.
Come abbiamo visto, le password sono uno degli aspetti più delicati della sicurezza digitale ma non l’unico, come puoi vedere leggendo i consigli dell’ENISA: adottare buone abitudini digitali significa costruire consapevolezza del nostro modo di stare online, e capire quanto conta proteggerlo.
