Letture suggerite del 20 settembre 2020

COME CREARE UNA PASSWORD EFFICACE

Le password sono tra le gioie ed i dolori dell’informatica moderna. Ogni sito, servizio on-line, dispositivo hardware in questo mondo iperconnesso va protetto… e la combinazione nome-utente e password è il minimo che si può fare per tenere una parvenza di sicurezza dei propri affari.

Una buona norma è quella di avere una password diversa per ognuno dei servizi che usiamo.

Un’altra sarebbe(*) quella di utilizzare il meno possibile le funzioni di autenticazione mediante ‘token’ erogati da servizi di terze parti. Per fare un esempio immaginiamo di utilizzare le nostre credenziali di accesso a Facebook per registrarci su Pinterest  o in un qualunque altro social network. Evidenziando il fatto che Facebook ed i gestori di questo tipo di autenticazione possono legalmente cancellare il nostro account a loro insindacabile giudizio o scomparire … in caso di compromissione dell’account  ‘principale’ avremo poi a cascata la compromissione degli accessi a tutti i servizi abbinati a queste credenziali.

Insomma l’uso di un password manager (come il mai troppo lodato – e da me adorato – 1password o il giovane Enpass o l’open source KeePass) è più che consigliato. Queste applicazioni ci permettono la memorizzazione di un altissimo numero di elementi e offrono funzionalità di generazione di password secondo diversi algoritmi.

Mi rendo però conto che per alcune persone o situazioni la spesa economica e di tempo per la configurazione del tutto possa non valere l’impresa… Magari abbiamo pochi servizi da proteggere, o non ci fidiamo di un software sviluppato da ignoti (nel mio caso non ho consigliato LastPass proprio per questa ragione). In queste situazioni possiamo utilizzare un piccolo ma validissimo espediente mnemonico per la generazione di password efficaci.

La vignetta riportata, dell’ottimo XKCD, spiega in maniera visiva e super-efficace il meccanismo (l’algoritmo) alla base di questo metodo.

Date le potenze di calcolo oggi disponibili, la nostra password diventa progressivamente più sicura man mano che i caratteri che la compongono crescono. Secondo le mie ultime letture oggi 12/13 caratteri costituiscono il minimo sindacale per una password ‘sicura’…  Quindi è meglio cominciare ad utilizzare password con 16 o più caratteri.
Ma come fare per ricordare sequenze di oltre 16 caratteri ? Semplice, dovremo ricordare delle frasi… Ma non citazioni di libri, film o poesie,… opere note e sicuramente nei dizionari dei malintenzionati. Dovremo usare frasi generate in maniera casuale ed estremamente personale.

Sulla tecnica ci sono diversi ottimi articoli ed approfondimenti on-line… ad esempio su il Post si parla di generatori di poesie, o possiamo arrivare a meravigliarci dell’idea di Mira Modi teenager statunitense che ha stupito il mondo con il suo Diceware che ha reso una valida fonte di reddito.

Senza arrivare a questo livello di sofisticazione ti sintetizzo in parole povere il tutto: per generare una password efficace andremo a generare la nostra ‘frase’ – o meglio una sequenza di parole – partendo da un ricordo o un’esperienza strettamente personali…

cozze-sandalo_Pescara!

Ecco una password di 22 caratteri facile da ricordare!
Il trigger mnemonico è la vacanza a Pescara dove abbiamo mangiato un buon piatto di spaghetti alle cozze e comprato quel sandalo estivo che adoriamo indossare. La punteggiatura (lo spazio è un carattere che evito perché non so mai se il sistema che memorizzerà la password sarà in grado di gestirlo correttamente) è lasciata alla tua immaginazione o preferenza.

Come vedi non è una scienza oscura, ma un banale esercizio di memoria la cui imprevedibilità sfugge alle risorse di calcolo attualmente disponibili (e immaginabili).

Spero che quest’articolo ti sia stato utile! Buon lavoro…


(*) dico sarebbe perché pur essendo studiati per la massima sicurezza nello scambio di dati questi meccanismi hanno un singolo anello debole messo in bella evidenza, la credenziale di accesso centrale – come la password di Facebook nell’esempio da me fatto – che rimane sempre troppo esposto agli attacchi e costituisce un bottino altamente desiderato e remunerativo per i criminali.

9 anni di 1password… col 30% di sconto per i nuovi clienti

Circa 10 anni fa Dave Teare e Roustem Karimov iniziavano la loro collaborazione nella scrittura di un programma che permettesse una agevole gestione delle password. Inizialmente il loro prodotto di rivolgeva ai dispositivi Palm e il responso del mercato fu più che positivo. Questo, assieme al passaggio ad OS X, decretò dopo un anno la nascita e la prima release di 1password.

Il 18 giugno 2015 saranno passati ben nove anni da quel rilascio!

1Passwd website as in 2006_06_18

Oggi il team dai primi due sviluppatori (ed unici dipendenti) ha raggiunto la ragguardevole cifra di sessanta dipendenti, e sono al momento supportati i principali sistemi operativi: OS X, Windows, iOS e Android.

Per festeggiare l’anniversario 1password sarà posta in offerta con il 30% di sconto sia sullo store ufficiale (https://agilebits.com/store) che sul Mac AppStore per un periodo di tempo limitato (su ognuna delle piattaforme supportate).

Da parte mia, di cliente super soddisfatto del prodotto sin dalla versione 3, non posso che congratularmi con il team ed invitarti ad approfittare della loro offerta … in nove anni di vita si sono dimostrati impeccabili sia come qualità del software, che come qualità di supporto ed attenzione al cliente…

password, kit d’emergenza

Siamo sommersi da password. Ormai onnipresenti, il loro numero e “lo stato dell’arte” della loro gestione ci ha portato all’utilizzo di strumenti quali KeePass o 1password (o altri) per la loro gestione.

Ma che si fa in caso di emergenza? Se per qualche motivo noi fossimo impossibilitati a sbloccare questi strumenti per poi accedere all’home banking, a dati particolari, utili ai nostri cari o per risolvere urgenze lavorative?

Sulle pagine del sito www.productivityist.com viene portato avanti un semplice ‘progetto’ a tal scopo. Viene preparato un PDF editabile, in cui andare a mettere per iscritto le password principali di accesso a risorse preziose… file da conservare poi in un luogo sicuro e conosciuto a persone di estrema fiducia, che le useranno in questi casi di emergenza. Un’idea – a mio avviso – semplice ed efficace!

1password e la torre di guardia

L’ultimo aggiornamento del popolare programma per la gestione delle password per Mac OS X (ma anche per Microsoft Windows e iOS ed Android) 1password introduce una nuova ed interessantissima funzionalità. La Torre di Guardia (WatchTower e no, non sei capitato su un sito dalle particolari inclinazioni religiose!).

Due sono le funzionalità più eclatanti. La prima, figlia dell’emoraggia dovuta ad Heartbleed, si preoccupa di controllare i siti web per cui abbiamo una password di accesso memorizzata nel sistema e vedere se sono stati interessati dal baco di openSSL e se sia necessario modificare la password [dopo essersi accertati che i siti abbiamo posto rimedio alla falla].

La seconda è una funzionalità che mi ha sempre meravigliato non fosse presente ab origine. E cioè il poter analizzare, in qualche modo, il grado di sicurezza delle password che usiamo. Questa viene implementata in una sezione chiamata Security Audit, dove possiamo controllare quali e quante siano le password ‘deboli’, quelle duplicate (ossia utilizzate per più di un servizio web… tante vero ???) ed infine quante siano sempre le stesse da anni (troppi?).

Insomma, non abbiamo effettivamente più scuse per trascurare la gestione delle nostre password di accesso.

Parallels propone un interessante bundle…

In queste ore lo Store online di Parallels – software house nota per il suo programma di virtualizzazione – propone un (a mio avviso) interessantissimo bundle per chi acquista una licenza di aggiornamento per Parallels (dalla release 7 in su).

Parallels Desktop 9 + 1Password 4 per Mac + Fantastical + Kaspersky Internet Security + CleanMyMac 2 + MacHider + Parallels Access for iPad alla folle cifra di 49,99€ (iva compresa)…

Parallels_bundle_feb2014

 

L’offerta è disponibile usando questa URL →