Come scegliere la password?

Il 7 maggio 2019 Anonymous pubblica una lista di 26922 coppie utente-password in chiaro (26922_Utenti_PEC.csv) del servizio PEC dell'avvocatura di Roma.

Fonte Pixabay - CC0 Creative Commons

Per l'esattezza le password sono quelle iniziali impostate di default e non è così scontato però che gli utenti le abbiano poi cambiate.
Un'altra lista (12425 Utenti Visura.csv) riguarda un servizio "Visura" legato a quello delle PEC dove però le password, sempre in chiaro, sono quelle impostate dall'utente.
Ora, senza entrare nel merito dei motivi per cui Anonymous abbia fatto questa azione, l'aspetto sconvolgente è che questi dati sono stati memorizzati in chiaro in un database centrale quando, sia per legge che per buon senso, devono essere opportunamente crittografati proprio perchè nessuno, compreso l'amministratore del sistema, possa abusarne.

Una simpatica quanto sconfortante statistica

Questa situazione ci dà la possibilità di fare una statistica su un campione della popolazione italiana non molto ampio (12425 utenti) ma comunque con una buona istruzione (avvocati) e non necessariamente esperti di informatica. Il quadro che se ne trae a mio avviso ci fa contemporaneamente sorridere, disperare e riflettere.

L'esperto non dà un buon esempio

L'amministratore del sistema, per capirci quello con i superpoteri, con nome utente

admin3
ha la password
visura3
e credo non serva commentare!!!

Gli autoreferenziali

625 persone, pari al 5%, hanno ben pensato di mettere la password identica al nome utente

I maniaci del tempo

670 utenti hanno scelto la password che ricorda neanche tanto vagamente una data (ggmmaaaa), probabilmente coincidente con la propria data di nascita, del coniuge o del figlio.

I burocrati

196 hanno usato come password il proprio codice fiscale

I pigri

9 utenti hanno pensato di usare come password la parola... "password"

I tifosi

4 persone hanno scelto come password forzaroma;
5 hanno fatto lo sforzo di aggiungerci uno spazio: forza roma;
33 si sono azzardate a fare una password più complessa, cioè con qualche numero, in aggiunta a forzaroma;
4 si differenziano per la scelta di magicaroma;
2 con romacampione;
11 più precisini: asroma1927;
Non la mandano a dire 14 nella cui password troviamo lazio, anche se su 6 di questi è seguita da un sinonimo di 'escremento'!;
Infine 23 sono gli juventini con juve o juventus;

I riflessivi

32 hanno contato fino a 7 per decidere che password mettere; peccato che poi hanno premuto invio. Risultato? 1234567

I giocherelloni:

5 utenti sono tornati con la memoria all'infanzia: "123stella"

Caratteri speciali ... ma non troppo!

Non ci crederete ma ci sono anche password con caratteri speciali ma trattati come il sale, mi raccomando, senza abbondare!
Quasi tutte quelle che contengono un carattere speciale, contengono solo quello.
Al primo posto abbiamo la:
@ con ben 39 apparizioni (ricordo su 12425 password!),
subito dietro 11 / ma aiutate dal fatto che vengono utilizzate come divisori nelle date (password del tipo: gg/mm/aaaa),
10 sono i casi di utilizzo della & ma, badate bene, solo per metterla in mezzo a due parole;
a seguire 9 virgole (,)
tallonate a parimerito da 8 * e altrettanti $.
5 sono i dubbiosi con il carattere ? di cui il più emblematico si trova nella password: "avvocato?",
e nelle ultime file troviamo 3 apici ('), 3 # e 3 %.
Squalificati dalla gara i 146 punti (.) perchè utilizzati nelle abbreviazioni (avv.) e come separatori (nome.cognome).

La pecora nera

C'è da dire però che una sola persona si distingue dalla massa con l'utilizzo di diversi caratteri speciali e precisamente con la password:

-.,LSD`\1
anche se le 3 lettere contenute fanno pensare ad un acronimo di cui vi posso assicurare non serve farne uso per produrre una password robusta.
A parte questa eccezione si potrebbe andare avanti per molto, ma questi sono i casi più ecclatanti.
Dopo una sana risata possiamo anche disperare, perchè non si può credere che oramai quasi nel 2020 si sottovaluti in questa maniera l'importanza della scelta di una password.

Attacco di forza bruta e attacco dizionario

Potreste giustamente dire che qualunque sia stata la password scelta, per quanto complicata sia, sarebbe stata scoperta comunque perchè il sistema centrale non ha provveduto a crittografare le password prima di immagazzinarle nel server.
Tutto corretto, ma anche in caso di un adeguato archivio di questi dati, ci sono sistemi che tentano di 'indovinare' la password che hai utilizzato per un certo servizio e il lavoro è ancora più facile se scegliamo le password come questi utenti.
Per la precisione ci sono:

• attacchi di forza bruta che tentano sistematicamente tutte le combinazioni alfanumeriche partendo da password brevi e via via crescendo. Per questo si consiglia di impostare una password di almeno 8 caratteri; Questa accortezza risulta insufficiente in caso di...
• attacchi dizionario dove vengono automaticamente verificate password composte da parole di senso compiuto, quindi per prevenire questo attacco sono importanti i caratteri alfanumerici.

Il problema mnemonico

Il motivo principale per il quale si produce una password relativamente semplice sta nel timore di non ricordarsela quando bisogna reinserirla in un diverso dispositivo, sia esso il cellulare, il desktop o il tablet sempre di nostra proprietà. Lo sforzo che si può fare eventualmente è quello di pensare ad una frase che particolarmente ci colpisce e poi rielaborarla con dei caratteri alfanumerici e alternare maiuscole con minuscole.
Ad esempio, facendo riferimento al titolo di questo post possiamo produrre una password del tipo:

c0m3Sc&glier3Lap@§wOrD?
e in questo modo partendo dalla frase memorizzata possiamo ricordarci la password se mettiamo i caratteri speciali nel posto giusto!
Un altro suggerimento su come costruire una password lo potete trovare qui
Ma questa sarebbe solo una delle tante password che dovremmo utilizzare nella vita digitale quotidiana e l'errore successivo che si può fare è quello di utilizzare la stessa password per altre utenze.
Basta che ne venga violata una e il malintenzionato può disporre dell'accesso a tutte o tante delle altre utenze che dispongono della stessa password.

La password della mail principale

Con il termine mail principale intendo quella mail che utilizzo nella registrazione dei vari servizi, con la quale è possibile recuperare la password dimenticata o smarrita.
Personalmente uso sempre la stessa mail e proprio per questo devo utilizzare una password robusta per accedervi; infatti se terzi riescono ad accedere a questa mail, possono utilizzarla per recuperare o modificare la password di un'altra utenza di loro interesse prima che io riesca ad intervenire.
Ciò non giustifica l'uso di password semplici per le altre utenze ovviamente, ma mentre le altre password posso anche rischiare di dimenticarle perchè posso recuperarle, quella della mail principale è bene scriversela su quaderno e solo su quello come le private key delle cryptovalute.

Ed ora prendiamoci un momento per riflettere su quante delle password che abbiamo scelto nelle nostre utenze assomigliano a quelle sopra elencate...

Quindi....

Tornando alla domanda principale del post:

Come scegliere la password?

la risposto che io darei è:

Non devi scegliere la password, ma è la password a scegliere te!

Quello che voglio dire è che devi affidarti al caso o meglio alla casualità e per questo consiglio strumenti come questo per generarla.
Quella da assegnare alla mail principale la scriviamo in un posto sicuro e mai in un dispositivo elettronico. Le altre le creiamo nel momento in cui procediamo alla creazione o alla modifica delle stesse senza preoccuparci di ricordarcele.
Ormai tutti i principali browser le memorizzano con crittografia e permettono tramite anche app di terze parti (password manager) di sincronizzarli tra lo stesso browser di diversi dispositivi. L'unica vulnerabilità trovata in questi sistemi è la possibilità di recuperare la password principale se si ha accesso al dispositivo. Bisogna quindi avere l'accortezza di bloccare l'accesso al PC se lo si lascia momentaneamente incustodito.

Ancora per poco?

Probabilmente con la diffusione e utilizzo totale della tecnologia blockchain in ogni ambito non ci sarà più il problema di vedersi soffiare le password dai server centrali visto che saranno tutti servizi decentralizzati.
Staremo a vedere...