DOWEB.IT - Password

In ambito informatico una password (termine inglese per “parola chiave” o anche “parola di accesso”) è una sequenza di caratteri alfanumerici utilizzata per accedere in modo esclusivo ad una risorsa informatica (computer, rete di computer, connessione Internet, casella email, programma, archivio, etc) o per effettuare operazioni di cifratura in ambito crittografico.

Una password è solitamente associata ad uno specifico username (termine inglese per “nome utente” o “identificatore utente”) al fine di ottenere un’identificazione univoca da parte del sistema a cui si chiede l’accesso. La coppia username/password fornisce le credenziali di accesso ed è una delle forme più comuni di autenticazione.

Dato lo scopo per il quale è utilizzata, la password deve rimanere segreta, cioè deve essere conosciuta solo dall’utente “proprietario” della risorsa e quindi pienamente responsabile delle relative credenziali di accesso. Per lo stesso motivo, la password deve essere ragionevolmente “robusta”, cioè non deve essere di semplice individuazione.

Proteggeremmo l’accesso a casa nostra con un semplice spago? Faremmo copie delle nostre chiavi di casa e le distribuiremmo a chiunque? Non lo credo! Ebbene, proteggere le nostre risorse informatiche richiede la medesima attenzione, specie in un’era – come quella che stiamo vivendo – sempre più basata sui sistemi informatici e dove la protezione della propria “identità digitale” diventa ogni giorno più importante. Se poi operiamo in un’Organizzazione, le credenziali di accesso alle risorse di tale Organizzazione vanno protette con medesima se non maggiore attenzione, anche ai sensi di Legge.

Quelli che seguono sono semplici ma efficaci suggerimenti per una corretta gestione delle password. Ciò che serve, comunque, è solo un minimo di accortezza (“furbizia”?) nella scelta e successiva gestione delle proprie password, dedicando la giusta attenzione a questa attività che, lo ripeto, è fondamentale per un corretto utilizzo dei sistemi informatici (e la cui inosservanza, al contrario, prima o poi provoca danni e guai, anche molto gravi).

• Non scegliere password brevi (almeno 8 caratteri, meglio 12 o più)
• Includere nella password sia numeri e lettere che possibilmente uno o più caratteri speciali (trattino, dollaro, underscore, etc)
• Non includere nella password il proprio username, ne’ porzioni di esso
• Se applicabile: non includere nella password il nome della propria Organizzazione e/o del dominio, ne’ loro porzioni
• Non scegliere una password facilmente indovinabile (numero di telefono, data di nascita, soprannome, etc)
• Non scegliere una password che abbia senso compiuto (chi attacca un sistema prova anche con i termini presenti nel dizionario della lingua del soggetto attaccato, e magari poi di altre lingue molto diffuse quali inglese, francese e spagnolo)
• Non annotare la password (i soliti fogliettini adesivi, magari conservati nel cassetto della scrivania o attaccati sotto la tastiera)
• Non ripetere ad alta voce la password mentre la si sta scrivendo
• Cambiare frequentemente la password, non utilizzando per la nuova password una delle precedenti
• Non comunicare a nessuno e mai la password, e se proprio si deve farlo (per quale motivo?!?, non riesco nepure ad immaginare un solo valido motivo!), non comunicarla in chat o in messaggi di posta elettronica (se non resi il più possibile “anonimi” e comunque mai indicando insieme il proprio username e/o le coordinate del sistema cui tale password è riferita)
• Non comunicare mai la password – per email, al telefono, etc – neppure a chi si presenta come incaricato da altri, ad esempio dal responsabile ICT: metodi del genere causano il maggior numero di violazioni e vanno sotto il nome di Social Engineering… far credere di essere qualcun altro allo scopo di ottenere qualcosa

In premessa ho scritto che l’inosservanza di questi semplici suggerimenti prima o poi provoca danni e guai, anche molto gravi. Ma di che cosa si tratta, in realtà? Cosa succede se qualcuno carpisce la mia password? Prendiamo ad esempio i servizi di posta elettronica.

Nella “migliore” delle ipotesi, chi è riuscito a violare la mia password:

• utilizza la mia casella per inviare spam, ovvero usa il mio nome per diffondere truffe, phishing, virus e/o altro
• utilizza le mie credenziali per inviare spam e quant’altro, ma chiedendo le risposte ad un altro indirizzo

Nella peggiore delle ipotesi, chi è riuscito a violare la mia password:

• ruba la mia identità digitale, usa il mio nome per ottenere vantaggi e/o servizi a mio nome
• legge la mia corrispondenza per sottrarre informazioni (e tra queste, ovviamente!, anche informazioni riservate, sensibili, vitali…)
• cancella tutte le mie email e i miei dati
• intercetta tutte le mie comunicazioni, senza che io possa accorgermene

In ogni caso, rischio che la mia casella venga invasa da migliaia di messaggi di errore, risposte alle email di spam e quant’altro. E non è tutto: la mia “reputazione online” viene compromessa, impedendomi poi d’inviare messaggi email, anche se legittimi.