Password management: come gestire gli account in sicurezza
21 agosto, 2023
10 min
La tecnologia blockchain ci permette di scambiare criptovalute peer-to-peer, liberi da intermediari, e l’ecosistema DeFi offre i più disparati servizi decentralizzati attraverso smart contract e dApp. D’altra parte, però, la distribuzione del potere richiede elevati standard di sicurezza: non c’è un’autorità centrale a “controllare” le azioni degli utenti, così la difesa del network è affidata a crittografia e protocolli imparziali. Già a livello personale, tuttavia, ognuno di noi è dotato di strumenti di protezione: una password sicura è una difesa essenziale anche nel mondo crypto. Scopriamo, quindi, come gestire, creare e conservare le password in modo sicuro!
I password manager: un post-it digitale
Lo scopo di questo articolo, come anticipato, è dare spunti utili sulla gestione password, non solo per l’uso quotidiano, ma anche nel caso specifico della sicurezza crypto. La password del tuo wallet crypto e il codice d’accesso al tuo account sull’exchange di Young Platform infatti, hanno bisogno di una strategia di password management, bilanciata per difficoltà e livello di protezione.
Chi di noi non ha un post-it o un taccuino dove appuntare tutti i codici segreti? Una soluzione comoda per la gestione delle password, ma rischiosa sotto vari aspetti: memorizzando tutte le chiavi su un unico supporto cartaceo, infatti, perderesti ogni accesso in un colpo solo, in caso di smarrimento. Dividere i codici tra più fogli e foglietti, tuttavia, non è particolarmente utile, anzi moltiplicherebbe le probabilità di perderli. Dunque, come conservare le password in modo sicuro e in un luogo solo?
La soluzione potrebbe essere un password manager, uno strumento semplice ma efficace alla gestione password, anche per chi non è molto pratico di tecnologia: come funziona? Essenzialmente, l’elenco infinito di username e password viene conservato da un software, protetto da una robusta “master password” (o key), l’unica che dovrai ricordare d’ora in poi.
Questi software di gestione password, inoltre, sono solitamente compatibili con tutti i dispositivi elettronici, semplicemente scaricando un’estensione browser o un’applicazione per smartphone, così che potrai avere le tue password salvate direttamente sul telefono. Immagina di accedere al tuo profilo su un social network: il password manager riempirà automaticamente i campi, riconoscendo il sito web, ma solo dopo che avrai sbloccato la sua “cassaforte” con la master password.
Ovviamente, la creazione della password per “aprire” la cassaforte deve seguire alcuni criteri, in modo che sia tanto robusta da proteggere tutti gli altri codici all’interno. Questi software, infatti, spesso spiegano all’utente come creare password sicure, indicando i parametri da considerare:
- Lunghezza;
- Quantità di caratteri numerici;
- Quantità di caratteri speciali, non alfabetici (come !,$,#,%);
- Numero di maiuscole/minuscole, in alternanza.
Alcuni password manager sono dotati anche di un generatore di password casuale per le master key.
Esempio
Ecco alcuni esempi di password sicure, create secondo le precedenti linee guida: QTdEm#!9GafUM$M – 81U^qiRhB8!6lt4X2s – X1q5tZis71bAhCt!%
Attenzione: queste password sono solo un’indicazione di buona norma, non usarle per i tuoi account!
In generale, una password è sicura quando lunga e complessa, così da impedire ai malintenzionati di indovinare la combinazione. Se pensi, però, che la gestione delle password attraverso un’altra password complichi troppo le cose, esistono opzioni di password management che integrano autenticazioni biometriche, come il FaceID o l’impronta digitale: “codici” che non puoi davvero perdere.
Autenticazione a 2 fattori (2FA): cos’è e come funziona
Credi che la gestione password di un password manager non sia abbastanza sicura? A patto che tu scelga una master password robusta e la memorizzi in modo sicuro, nessuno potrà mai conoscere le varie credenziali d’accesso che conservi. La prudenza, però, non è mai troppa: puoi integrare al tuo gestore password un secondo livello di sicurezza, chiamato autenticazione a 2 fattori (2FA) o strong authentication, scopriamo cos’è.
Simuliamo l’accesso ad una piattaforma per comprendere il funzionamento del 2FA: inserisci nome utente (o e-mail) e la relativa password, oppure sfrutta un password manager per farlo in modo automatico; dopodichè, se hai impostato l’autenticazione a due fattori, ti verrà chiesto un ulteriore codice per “aprire” il tuo account, ovvero una one time password (OTP).
Sapere cos’è una one time password è fondamentale per il processo di 2FA: al contrario di una classica password statica, una OTP cambia continuamente e viene generata in maniera casuale, solitamente ogni 30 secondi. Il codice OTP corretto ti verrà dunque comunicato dal software di 2FA attraverso un’applicazione smartphone o SMS.
Il meccanismo di autenticazione a due fattori, attraverso la one time password, verifica che ad accedere sia il legittimo proprietario: l’unico a poter ricevere il codice OTP, anche se la password principale dell’account gli fosse stata rubata. Il tuo wallet sull’exchange di Young Platform, a tal proposito, può essere protetto da un sistema di autenticazione a due fattori.
Esistono vari software Authenticator, anch’essi protetti da una master password o da riconoscimento biometrico all’accesso, che puoi usare per generare one time password:
- Google Authenticator – è il software sviluppato da Google, gratuito e semplice da configurare;
- Microsoft Authenticator – simile al precedente, ma sviluppato da Microsoft;
- Authy – è un’App che ha avuto grande successo grazie alla vasta compatibilità e alle funzioni aggiuntive, come ad esempio il backup automatico in Cloud.
Ora che hai capito come gestire le password e gli accessi, c’è ancora qualcosa che puoi fare per proteggere il tuo account. Come dicevamo, più password hai più è facile che qualcuna venga persa, ma anche una sola “master password” può essere dimenticata. Così, è buona norma effettuare dei backup dei propri codici d’accesso, soprattutto di quelli essenziali per il recupero di password e altre credenziali o per visualizzare i codici OTP. Scopriamo quindi come conservare le password in modo sicuro attraverso i backup e l’uso della crittografia.
Gestione password: l’importanza di backup e crittografia
I backup proteggono non tanto dai cybercriminali, ma da se stessi: la memoria umana è fallace, perciò sarebbe meglio “ricordare” con dei backup le combinazioni di caratteri delle password. Queste, infatti, se sufficientemente robuste, sono stringhe alfanumeriche complesse che non hanno riscontro nel linguaggio comune: la gestione “mentale” di tali password è difficile, se non impossibile.
In maniera simile a quanto dovresti fare con le chiavi private e i seed dei wallet, è consigliabile eseguire regolari backup delle password, possibilmente in formato criptato. La crittografia, infatti, aggiunge sicurezza al backup: anche se fosse hackerato, i malintenzionati troverebbero soltanto codici e non le password reali, perché queste ultime sono state criptate secondo una funzione crittografica conosciuta (e quindi invertibile) dal solo proprietario del backup.
Uno dei migliori formati per i file di backup è sicuramente il .JSON (JavaScript Object Notation), perché ampiamente utilizzato e quindi compatibile con più ambienti. In alternativa, si può comprimere un file di testo (Word o txt) in .ZIP o .7z, così da abilitare la crittografia AES-256 e quindi proteggerlo tramite una password sicura.
Esistono anche dei programmi specifici che permettono di crittografare qualsiasi tipologia di file e scegliere anche l’algoritmo di cifratura.
Il file di backup creato può essere salvato nella memoria locale degli smartphone o dei PC, oppure offline su hard-disk esterni; il backup può anche essere memorizzato attraverso servizi di cloud storage. In ogni caso, impostando un livello di crittografia, il file non sarebbe comprensibile a nessuno, se non da chi lo ha creato, sempre che possa essere “aperto” senza password.
Chiaramente per la gestione sicura delle password è consigliabile eseguire più copie di backup dello stesso file, contenente i codici essenziali, e salvarlo su dispositivi diversi: questo abbassa il rischio di perdita del backup, in caso di rottura o smarrimento dei dispositivi elettronici stessi.
Altri trucchi e buone pratiche per la gestione delle password:
Ora che sai come gestire le password, anche in ambito di sicurezza crypto, e conservarle in modo sicuro, sei pronto a scoprire alcune soluzioni più avanzate e “trucchi” per proteggere al meglio i tuoi account.
Il rischio più grande nella gestione delle tue password, in base a quanto abbiamo detto, è il furto coordinato delle “master password”, sia del tuo password manager che dell’Authenticator per la one time password (OTP). In questo caso estremo, l’hacker avrebbe a disposizione tutte le password così come i relativi codici OTP per confermare gli accessi.
C’è un solo modo per prevenire questa eventualità: impostare un 3FA, ovvero un terzo fattore di autenticazione. Ad oggi, sono pochissimi i servizi che supportano il 3FA, ma fra questi c’è il sistema SPID Italiano, tuttavia non per tutti i gestori.
Se desideri sapere altri “trucchi” su come gestire le password, specialmente in ambito di sicurezza crypto, i seguenti sono da aggiungere alle 7 regole per utilizzare Young Platform in totale sicurezza:
- Cambiare password ogni tot mesi – questa strategia di password management ha valore soprattutto per l’accesso agli account “sensibili”, come i social network o gli exchange di criptovalute. Alcuni siti web consigliano automaticamente di cambiare la propria password, solitamente ogni 6/8 mesi. Ricordarti di aggiornare anche il backup ad ogni cambiamento delle credenziali;
- Controlla i dispositivi registrati – molti siti web e app permettono di vedere le “sessioni di login” attive e passate, in parole povere da quale dispositivo ci si è collegati, la località e l’orario. Controlla regolarmente che i dispositivi d’accesso siano i tuoi e, se hai qualche sospetto, cambia password o dissocia il dispositivo in questione.
- Rifiuta il salvataggio automatico delle credenziali – alcuni browser propongono, attraverso pop-up o notifiche, di memorizzare nome utente e password per l’accesso ai siti web. È buona norma rifiutare, oppure ricordati di rimuovere i diritti d’accesso a periferiche vecchie e non di tua proprietà.
Adotta una strategia di password management che consideri ogni aspetto di questa guida su come gestire le password, ma ricorda che la complessità è inutile senza efficienza: un sistema di password deve essere sia robusto che facile da usare. Sai già in che modo: memorizza solo la master password del tuo password manager e imposta autenticazione a due fattori (2FA) e one time password (OTP), minimo sforzo massima protezione.