È vero che bisogna cambiarle ogni mese? Oppure ogni tre mesi? Oppure mai…
Se chiedessimo a dieci persone ogni quanto bisogna cambiare le password, quasi sicuramente nove di loro risponderebbero “una volta ogni pochi mesi, al massimo sei”. Questo perché nel 2003, agli albori della sicurezza informatica divulgativa, un’importante agenzia governativa americana (il NIST) pubblicò una serie di linee guida di cybersecurity, tra cui alcune sull’utilizzo delle password dicendo che andrebbero cambiate periodicamente, ogni 3 o 6 mesi, perché in questo modo se un account venisse violato, si ridurrebbe il tempo di esposizione ad attacchi da parte del cracker.
Da allora sono passati quasi venti anni, e ora i dati ci dicono che questa pratica può essere controproducente. Lo stesso Bill Burr, autore della guida del NIST, nel 2017 chiese pubblicamente scusa per l’inesattezza della sua teoria, che fu accolta e diffusa in tutto il mondo.
Di fatto e soprattutto in ambito aziendale, è pratica comune modificare le password ogni pochi mesi, soprattutto se si tratta di account importanti o che condividono dati personali. Se lavori in una grande azienda e utilizzi un computer in rete, sicuramente sai di cosa parliamo e probabilmente tutt’oggi le tue password scadono ogni primo del mese.
Ma cos’hanno scoperto i ricercatori con le ultime analisi? Ebbene, il problema di dover modificare periodicamente le password è che la maggior parte delle persone utilizza dei modelli di trasformazione semplice piuttosto che crearne di nuove e indipendenti da quelle precedenti. Ad esempio, se la password corrente è Nomecognome001, molte persone hanno la tendenza a crearne un’altra similissima, come nomeCognome001 (spostamento della maiuscola), NomeCognome002 (numerazione progressiva), CognomeNome001 (inversione delle parti) e così via.
Ora arriva il bello: alcuni ricercatori hanno fatto un esperimento su utenti che hanno modificato periodicamente le proprie password: di queste il 41% era prevedibile in meno di tre secondi da un computer potente. A causa di queste scoperte e dei progressi della cybersecurity, l’opinione generale si va orientando progressivamente verso un approccio diverso, basato sulla semplicità e l’efficacia.
Parola d’ordine, praticità!
L’obiettivo di qualsiasi sistema di sicurezza è proteggere; se una sua variabile gli impedisce di funzionare al meglio, questa va corretta indipendentemente dalla sua natura. Questo è l’approccio che possiamo definire pragmatico, in cui si dà la priorità all’obiettivo finale e non ai mezzi o all’efficienza.
In questa ottica, se abbiamo tante password dobbiamo chiederci se siamo disposti e capaci di gestirle tutte, modificarle e creare sempre nuove versioni sicure. Se la risposta (onesta) è no, indipendentemente dal motivo, dobbiamo trovare un’alternativa, perché un sistema di sicurezza complesso utilizzato male è peggio di uno più semplice ma funzionante.
Il problema della vita digitale di oggi è che abbiamo decine di account tra quelli di uso personale e quelli lavorativi, e questa molteplicità è pericolosa perché:
- Più account abbiamo, più siamo esposti ad attacchi di spear phishing e ingegneria sociale.
- Se le nostre password non sono sicure o si assomigliano tra loro, quando una viene scoperta rischiamo di compromettere gli altri account.
- Gestire molti login è difficile e, superato un certo numero, quasi impossibile da fare in modo davvero sicuro.
In relazione a quest’ultimo punto, quando parliamo di modalità sicura ci riferiamo esclusivamente alla memoria: in linea di principio, l’unico luogo sicuro dove conservare le password è il nostro cervello. Ma ovviamente, con tutti gli account che abbiamo, questo non è possibile. Ragion per cui, ancora una volta arriviamo alla necessità di un’alternativa.
Password manager
Ecco l’alternativa a cui accennavamo. I password manager sono di una semplicità incredibile, eppure sono la soluzione perfetta per gestire le password in modo efficace. Lo strumento di gestione delle password di Panda, Panda Dome Passwords, ti consente di utilizzare una sola password maestra per accedere a tutte le credenziali di login dei tuoi account online, che verranno compilati automaticamente dal programma.
Il secondo grande vantaggio di questo software è che se lo utilizzi, allora puoi cambiare le password tutte le volte che vuoi: invece di utilizzare uno schema di trasformazione prevedibile e inefficace, ti basterà farti suggerire le password dal programma. Questo crea sempre password aleatorie e difficili da indovinare, ma che soprattutto non hanno alcuna relazione tra loro.
Semplificando al massimo il discorso, Matteomatrix1983 non è una password sicura, xT87uhM92JJVc18fp$000 sì, ma è difficile da ricordare… per un essere umano, ma non per un password manager!
Quindi, il nostro consiglio è di scaricare subito il password manager di Panda e iniziare a utilizzarlo, magari modificando le password meno sicure che non hai cambiato per mancanza di tempo o voglia. Se invece preferisci affidarti a carta e penna o alla tua memoria, allora ti consigliamo di creare password molto sicure e non modificarle a meno che non hai seri motivi per ritenere che il relativo account sia stato violato.
Infine, vogliamo ricordarti ancora una volta l’importanza dell’autenticazione a due fattori. Più andiamo avanti, più il concetto di password sicura perderà significato a causa della potenza dei nuovi computer. Ecco perché con l’autenticazione a due fattori – ad esempio con una verifica dell’identità mediante lettura delle impronte digitali o l’inserimento di un codice monouso – aggiungiamo un livello di sicurezza in più che duplica gli sforzi o la dose di fortuna necessaria all’hacker di turno per riuscire ad accedere illegalmente all’account.
Buona navigazione e buona gestione delle password!