logo academy

Password management: come gestire gli account in sicurezza

4 agosto, 2022
9 min
Password management: come gestire gli account in sicurezza
Principiante
Cosa Imparerai

    La tecnologia blockchain ci permette di scambiare criptovalute peer-to-peer, liberi da intermediari, e l’ecosistema DeFi offre i più disparati servizi decentralizzati attraverso smart contract e dApp. D’altra parte, però, la distribuzione del potere richiede elevati standard di sicurezza: non c’è un’autorità centrale a “controllare” le azioni degli utenti, così la difesa del network è affidata a crittografia e protocolli imparziali. Già a livello personale, tuttavia, ognuno di noi è dotato di strumenti di protezione: le password nel mondo crypto sono essenziali, pertanto è importante saperle usare e conservare al meglio. Scopriamo, quindi, come gestire le password!

    I password manager: un post-it digitale

    Lo scopo di questo articolo, come anticipato, è dare spunti utili su come gestire le password, non solo per l’uso quotidiano, ma anche nel caso specifico della sicurezza crypto. Il tuo account sull’exchange di Young Platform o qualsiasi altro wallet crypto, infatti, ha sempre un codice d’accesso: per crearlo, conservarlo e recuperarlo serve una strategia di password management, bilanciata per difficoltà e livello di protezione.

    Chi di noi non ha un post-it o un taccuino dove appuntare tutte le password? Una soluzione comoda, ma rischiosa sotto vari aspetti: memorizzando tutte le password su un unico supporto cartaceo, infatti, perderesti ogni accesso in un colpo solo, in caso di smarrimento. Dividere i codici tra più fogli e foglietti, tuttavia, non è particolarmente utile, anzi moltiplicherebbe le probabilità di perderli. È possibile, quindi, raccogliere le password in un solo luogo ma sicuro?

    La soluzione potrebbe essere un password manager, uno strumento semplice ma efficace, anche per chi non è molto pratico di tecnologia, come funziona? Essenzialmente, l’elenco infinito di username e password viene conservato da un software, protetto da una robusta “master password”, l’unica che dovrai ricordare d’ora in poi. 

    Questi software di gestione, inoltre, sono solitamente compatibili con tutti i dispositivi elettronici, semplicemente scaricando un’estensione browser o un’applicazione per smartphone, così che avrai a disposizione le tue password direttamente dove e quando ne avrai bisogno. Immagina di accedere al tuo profilo su un social network: il password manager riempirà automaticamente i campi, riconoscendo il sito web, ma solo dopo che avrai sbloccato la sua “cassaforte” con la master password.

    Ovviamente, la password per “aprire” la cassaforte deve essere scelta con criterio, in modo che sia tanto robusta da proteggere tutti gli altri codici all’interno. Questi software, infatti, spesso aiutano l’utente nella creazione di una password adeguata, indicando i parametri da considerare:

    • Lunghezza;
    • Quantità di caratteri numerici;
    • Quantità di caratteri speciali, non alfabetici (come !,$,#,%);
    • Numero di maiuscole/minuscole, in alternanza. 

    Alcuni password manager sono dotati anche di un algoritmo di generazione casuale per le master password, proprio come avviene per le chiavi privata e pubblica alla creazione di un wallet crypto.

    Le password, in generale, sono tanto più sicure quanto più lunghe e complesse, così da impedire ai malintenzionati di indovinare la combinazione. Se pensi, però, che gestire le password attraverso un’altra password complichi troppo le cose, alcuni software per la conservazione e gestione delle password integrano anche varie autenticazioni biometriche, come il FaceID o l’impronta digitale: “codici” che non puoi davvero perdere. 

    Autenticazione a 2 fattori (2FA)

    Credi che gestire le password con un password manager non sia abbastanza? A patto che tu scelga una master password robusta e la memorizzi in modo sicuro, nessuno potrà mai conoscere le varie credenziali d’accesso che conservi. La prudenza, però, non è mai troppa: puoi integrare al tuo sistema di password un secondo livello di sicurezza, chiamato autenticazione a 2 fattori (2FA) o strong authentication.

    Simuliamo l’accesso ad una piattaforma per comprendere il funzionamento del 2FA: inserisci nome utente (o e-mail) e la relativa password, oppure sfrutta un password manager per farlo in modo automatico; dopodichè, se hai impostato l’autenticazione a due fattori, ti verrà chiesto un ulteriore codice per “aprire” il tuo account. 

    Una sequenza 2FA è una “one time password” (OTP) che cambia continuamente e viene generata in maniera casuale, solitamente ogni 30 secondi. Il codice corretto ti verrà comunicato dal software di 2FA attraverso un’applicazione smartphone o SMS; in ogni caso, l’autenticazione a due fattori verifica che ad accedere sia il legittimo proprietario: l’unico a ricevere il codice 2FA, anche se la password gli fosse stata rubata. Il tuo account sull’exchange di Young Platform, a tal proposito, può essere protetto da un sistema di autenticazione a due fattori, qui scoprirai come adottare questa misura di sicurezza crypto. 

    Esistono vari software Authenticator, anch’essi protetti da una master password o da riconoscimento biometrico all’accesso, che puoi usare per generare codici 2FA:

    • Google Authenticator – è il software sviluppato da Google, gratuito e semplice da configurare;
    • Microsoft Authenticator – simile al precedente, ma sviluppato da Microsoft;
    • Authy – è un’App che ha avuto grande successo grazie alla vasta compatibilità e alle funzioni aggiuntive, come ad esempio il backup automatico in Cloud.

    Ora che hai capito come gestire le password e gli accessi, c’è ancora qualcosa che puoi fare per proteggere il tuo account. Come dicevamo, più password hai più è facile che qualcuna venga persa, ma anche una sola “master password” può essere dimenticata. Così, è buona norma effettuare dei backup dei propri codici d’accesso, soprattutto di quelli essenziali per recuperare altre credenziali o per visualizzare i codici 2FA. Scopriamo quindi come conservare le password in backup altrettanto sicuri.

    L’importanza di backup e crittografia

    I backup proteggono non tanto dai cybercriminali, ma da se stessi: la memoria umana è fallace, perciò sarebbe meglio “ricordare” con dei backup le combinazioni di caratteri delle password. Queste, infatti, se sufficientemente robuste, sono stringhe alfanumeriche complesse che non hanno riscontro nel linguaggio comune: difficile apprenderle e conservarle “a mente”. 

    In maniera simile a quanto dovresti fare con le chiavi private e i seed dei wallet, è consigliabile eseguire regolari backup delle password, possibilmente in formato criptato. La crittografia, infatti, aggiunge sicurezza al backup: anche se fosse hackerato, i malintenzionati troverebbero soltanto codici e non le password reali, perché queste ultime sono state criptate secondo una funzione crittografica conosciuta (e quindi invertibile) dal solo proprietario del backup. 

    Uno dei migliori formati per i file di backup è sicuramente il .JSON (JavaScript Object Notation), perché ampiamente utilizzato e quindi compatibile con più ambienti. In alternativa, si può comprimere un file di testo (Word o txt) in .ZIP o .7z, così da abilitare la crittografia AES-256 e quindi proteggerlo tramite una password.

    Esistono anche dei programmi specifici che permettono di crittografare qualsiasi tipologia di file e scegliere anche l’algoritmo di cifratura. 

    Il file di backup creato può essere salvato nella memoria locale degli smartphone o dei PC, oppure offline su hard-disk esterni; il backup può anche essere memorizzato attraverso servizi di cloud storage. In ogni caso, impostando un livello di crittografia, il file non sarebbe comprensibile a nessuno, se non da chi lo ha creato, sempre che possa essere “aperto” senza password.

    Chiaramente è consigliabile eseguire più copie di backup dello stesso file, contenente le password essenziali, e salvarlo su dispositivi diversi: questo abbassa il rischio di perdita del backup, in caso di rottura o smarrimento dei dispositivi elettronici stessi.

    Gestire le password: altri trucchi e buone pratiche

    Ora che sai come gestire le password, anche in ambito di sicurezza crypto, sei pronto a scoprire alcune soluzioni più avanzate e “trucchi” per proteggere al meglio i tuoi account.

    Il rischio più grande per le tue password, in base a quanto abbiamo detto, è il furto coordinato delle “master password”, sia del tuo password manager che dell’Authenticator per la 2FA. In questo caso estremo, l’hacker avrebbe a disposizione tutte le password così come i relativi codici 2FA per confermare gli accessi.

    C’è un solo modo per prevenire questa eventualità: impostare un 3FA, ovvero un terzo fattore di autenticazione. Ad oggi, sono pochissimi i servizi che supportano il 3FA, ma fra questi c’è il sistema SPID Italiano (non per tutti i gestori però). 

    Se desideri ancora più protezione esistono altre accortezze, “trucchi” utili anche per la sicurezza crypto. I seguenti sono da aggiungere alle 7 regole per utilizzare Young Platform in totale sicurezza, già presentate qui:

    • Cambiare password ogni tot mesi – questa strategia ha valore soprattutto per l’accesso agli account “sensibili”, come i social network o gli exchange di criptovalute. Alcuni siti web consigliano automaticamente di cambiare la propria password, solitamente ogni 6/8 mesi. Ricordarti di aggiornare anche il backup ad ogni cambiamento delle credenziali;
    • Controlla i dispositivi registrati – molti siti web e app permettono di vedere le “sessioni di login” attive e passate, in parole povere da quale dispositivo ci si è collegati, la località e l’orario. Controlla regolarmente che i dispositivi d’accesso siano i tuoi e, se hai qualche sospetto, cambia password o dissocia il dispositivo in questione. 
    • Rifiuta il salvataggio automatico delle credenziali – alcuni browser propongono, attraverso pop-up o notifiche, di memorizzare nome utente e password per l’accesso ai siti web. È buona norma rifiutare, oppure ricordati di rimuovere i diritti d’accesso a periferiche vecchie e non di tua proprietà. 

    Adotta una strategia che consideri ogni aspetto di questa guida su come gestire le password, ma ricorda che la complessità è inutile senza efficienza: un sistema di password deve essere sia robusto che facile da usare. Sai già in che modo: memorizza solo la master password del tuo password manager e imposta un 2FA: minimo sforzo massima protezione.

    Correlati