SICUREZZA: come memorizzare una password
Prendo spunto da un post di Delymyth sulla Sicurezza informatica, visto anche che sono in argomento con il post precedente, per dire due cose sull’argomento password e sicurezza.
Anche io spesso mi trovo a cercare di convincere qualcuno che l’utilizzo della password è importante, che la sua segretezza lo è altrettanto e che la sicurezza non è mai da sottovalutare.
D’altro canto altrettanto frequentemente mi viene ribattuto che ormai ci sono password ovunque, che non è facile ricordarle tutte, che in qualche modo bisogna arrangiarsi. Ed hanno ragione. Ribaltare a loro la responsabilità, senza proporre una soluzione, non mi è mai piaciuto.
Da queste esperienze sono arrivato a tracciare alcuni consigli che approfitto per riportare qui, in modo che possiate integrarli, correggerli o, più semplicemente, metterli in pratica.
- Nei casi in cui la password è stabilita a priori dal gestore del sito/programma/servizio (vedi homebanking ecc.) purtroppo c’è poco da fare, bisogna ricordarla. In questi casi, che comunque dovrebbero essere la minoranza e io mi auguro arrivino presto a zero, è opportuno usare un programma di gestione delle password.
Io uso Password depot 2 freeware che gestisce sino a 20 password, ha buoni algoritmi di protezione dei dati memorizzati e crea una toolbar da cui puoi aprire il sito e poi compilare automaticamente i campi utente e password. Se qualcuno ha esperienza con altri software per favore consigliate.
- Per quanto riguarda le password libere, ossia quelle la cui creazione è lasciata all’utente, che sono la maggioranza e che possono effettivamente diventare molte, visto il brulicare di servizi 2.0 a disposizione, io consiglio di abituarsi a creare le password utilizzando un unico modello costruttivo.
Un esempio banale: devo registrarmi a Twitter e devo creare la relativa password. Se decido di applicare come modello costruttivo quello di utilizzare tutte le lettere dispari del nome del servizio a cui mi sto registrando, avrò come password TITR. Se successivamente il servizio a cui registrarsi sarà Tumblr la nuova password diventerà TML.
Come vedete le password sono difficili da ricordare, ma ricordandosi il modello costruttivo, non avremo problemi a ricrearle per ogni servizio senza doverle segnare da nessuna parte.
E’ ovvio che il modello si può rendere più complesso, scegliendo parti fisse e parti variabili, con l’utilizzo in posizioni predefinite di caratteri speciali (%$@#) ecc. ma il concetto fondamentale non cambia: ricordate una cosa sola, utilizzate tante parole diverse.
- Una osservazione a parte va fatta per l’inserimento della propria mail nei form di registrazione, a volte come nome utente, altre come dato informativo.
Se avete un dominio vostro e avete attivo il catch all, ossia la raccolta su un singolo indirizzo di tutte le mail che arrivano intestate ad utenti non esistenti, io consiglio di utilizzare per registrarsi una mail del tipo nomeservizio@nomemiodominio.it ( es. twitter@flt.it ).
I messaggi di conferma li riceverete normalmente ma, se per caso il servizio iniziasse ad utilizzare la mail da voi fornita per messaggi indesiderati, vi basterebbe bannare la mail con il nome del servizio per risolvere il problema. Se poi la mail è usata come nome utente avrete già fatto la scelta di un nome utente univoco, non già registrato e di facile memorizzazione.
Per chi non ha un dominio proprio consiglio semplicemente di …. acquistarne uno. Ormai il costo annuo è ridotto, vi slegate dal fornitore di connettività e poi volete metter quanto fa figo un indirizzo di posta personalizzato?
