a cura del dott. Gabriele Costagliola
È come avere un’unica chiave per casa, ufficio e automobile — e lasciarla sotto lo zerbino.
Immaginate di aprire il vostro browser — il programma che usate per navigare su Internet, come Chrome, Firefox o Safari — e di accedere alla vostra email, al vostro conto bancario online e al vostro profilo sui social network. Cosa hanno in comune questi tre servizi? Probabilmente la stessa password. E questo, purtroppo, è uno degli errori più comuni e pericolosi che si possano fare sul web.
Perché una sola password è un problema enorme
Pensate alla password come a una chiave fisica. Se usaste la stessa chiave per aprire casa, l’auto e la cassaforte in banca, basterebbe perderla una volta sola per mettere a rischio tutto. Sul web funziona esattamente così.
Ogni giorno, migliaia di siti web vengono attaccati da criminali informatici. Questi malintenzionati riescono a rubare i dati degli utenti — compresi nome utente e password — e li vendono o li usano per accedere ad altri servizi. Se la vostra password è la stessa ovunque, chi la ottiene da un sito di ricette di cucina poco protetto può usarla tranquillamente per entrare nella vostra banca online. Questo attacco si chiama credential stuffing, ma in parole semplici significa: “ho trovato la vostra chiave, ora provo tutte le porte.”
Come riconoscere una password debole
Una password debole è facile da indovinare per un computer. “123456”, “password”, il vostro nome, la data di nascita: queste combinazioni vengono provate per prime dagli hacker, con programmi automatici capaci di tentare migliaia di combinazioni al secondo. Se la vostra password è corta (meno di 8 caratteri) o contiene solo parole di senso compiuto, è vulnerabile.
Come si crea una password forte
Una buona password dovrebbe essere lunga almeno 12 caratteri e mescolare lettere maiuscole e minuscole, numeri e simboli come !, @, #. Non deve contenere informazioni personali ovvie.
Ma perché proprio 12 caratteri? La risposta è matematica, e i numeri fanno impressione. Immaginate di usare un alfabeto di 95 caratteri possibili (lettere maiuscole e minuscole, numeri e simboli comuni). Una password di 8 caratteri produce circa 6.600 miliardi di combinazioni possibili — un numero enorme, ma che un computer moderno dedicato agli attacchi riesce a testare interamente in poche ore. Una password di 12 caratteri con gli stessi criteri sale a circa 540.000 miliardi di miliardi di combinazioni — un numero così grande che lo stesso computer impiegherebbe migliaia di anni per provarle tutte. Aggiungere soli 4 caratteri moltiplica la sicurezza di circa 81 milioni di volte. Non è una differenza di grado: è una differenza di mondo.
Un trucco utile è pensare a una frase che ricordate facilmente e trasformarla. Per esempio: “Il mio gatto si chiama Tigre” può diventare IlM10g@tt0$iTigr3. Difficile da indovinare, ma con una logica che voi conoscete.
Il salvavita che non sapevate di voler usare
Ricordare decine di password diverse sembra impossibile — e lo è, per chiunque. La soluzione si chiama gestore di password (in inglese, password manager): un programma o applicazione che conserva tutte le vostre password in modo sicuro, protette da un’unica password maestra. Ne esistono di affidabili e gratuiti, come Bitwarden o KeePass.
Quando create un account su un nuovo sito — identificato sempre dal suo URL, l’indirizzo che vedete nella barra del browser, come www.esempio.it — il gestore genera automaticamente una password unica e complessa per voi, e la ricorda al posto vostro.
Un piccolo gesto, una grande protezione
La sicurezza digitale non richiede di essere esperti informatici. Richiede solo qualche abitudine in più. Cambiare le password più importanti, non riutilizzarle e usare uno strumento di supporto sono passi piccoli che fanno una differenza enorme. Il vostro mondo digitale vale quanto quello reale: proteggetelo con la stessa cura.