Differenze tra password e passphrase: cos’è la passphrase?

Sappiamo tutti l’importanza di scegliere password sicure per gestire i nostri account online. Eppure quando ci ritroviamo ad impostare le password durante la fase di registrazione, finiamo sempre con dare poca importanza alla combinazione di numeri e parole che useremo. Per fortuna i servizi online offrono delle linee guida obbligatorie da seguire quando si creano delle password, come:

• Lunghezza minima 12 caratteri
• Presenza di almeno un numero e un carattere speciale
• Presenza di un carattere maiuscolo

Molti siti suggeriscono anche quanto sia “forte” la password che si sta creando, suggerendo se migliorarla o se invece si tratta di una password sicura. Ma creare e poi ricordare tutte queste password diventa molto rapidamente un peso: in un sondaggio online effettuato nel 2017 su 1000 utenti internet in Europa, si è scoperto che il 70% dispone di almeno 10 account online differenti.

Come creare una passphrase: il modo più semplice per password sicure

Proteggere la propria navigazione in rete significa prendere le dovute misure di sicurezza sia quando si creano account online, sia quando si visitano siti internet. Da un lato possiamo proteggerci usando una rete VPN sicura, che ci permette di navigare protetti grazie una crittografia a 256 bit e cambiando il nostro indirizzo IP. Dall’altro lato, quando apriamo un nuovo account online dobbiamo:

• Assicurarci di essere su un sito sicuro (è importante anche la presenza del classico “lucchetto verde” nella barra degli indirizzi, ovvero la connessione HTTPS)
• Scegliere un indirizzo email che utilizzate quotidianamente
• Inserire tutti i dati richiesti, ma occhio ai termini e condizioni (spesso spuntando le giuste caselle si può evitare di accettare l’invio di email promozionale, se non ci interessa)
• Scegliere una password inviolabile

In questo ultimo punto, potete fare affidamento sulla tecnica della passphrase: un modo per creare password a prova di hacker che sono al tempo stesso facili da ricordare. Come prima cosa, scegliete una frase che vi riguardi. Per esempio, il vostro piatto di pasta preferito: “Il mio piatto di pasta preferito è la carbonara.” Adesso, prendiamo solo le lettere iniziali delle parole presenti nella nostra frase. Ci ritroveremo quindi con “Impdppèlc”. Poi mettiamo in maiuscolo la prima lettera e l’ultima di questa frase rimasta, aggiungendo anche almeno un carattere speciale e tre numeri. Proseguendo con l’esempio, ci ritroveremo con: “LmpdppèlC-874”. Come vedete, in giusto un paio di passaggi siamo partiti da una frase semplice, come quella indicante il vostro piatto di pasta preferito, e siamo arrivati invece a creare una password sicura. Basta insomma davvero poco, per evitare di usare password troppo semplici e poco sicure.

L’importanza di cambiare password per proteggersi

Usare però password sicure è solo metà del lavoro che dobbiamo fare per proteggere i nostri account online. L’altra metà del lavoro implica cambiare password regolarmente (già cambiarle una volta all’anno sarebbe un buon inizio). Infatti, con il passare del tempo diventa sempre più facile craccare le password. Prendendo come esempio la password “security1”, nel 2000 ci volevano 3 anni e 10 mesi per riuscire a craccarla. Nel 2016, il tempo richiesto invece è calato a circa 3 mesi. Più passa il tempo, più le tecniche di furto password diventano performanti (complice i balzi in avanti della tecnologia e della velocità dei processori). Cambiare password però non significa “riciclare” password vecchie, bisogna sempre inventarne di nuove (e soprattutto, mai usare la stessa password per più account). Non bisogna mai sottovalutare questa misura di sicurezza: più passa il tempo, più ci si espone al rischio del furto della password.

Noi possiamo prendere tutte le misure di sicurezza possibili:

• Installare un antivirus sempre aggiornato
• Non aprire mai email sospette
• Usare reti VPN per proteggere la propria connessione
• Utilizzare Adblock o altri sistemi per fermare pubblicità invasive e/o dannose
• Non cliccare mai su link che non conosciamo

Però c’è sempre un fattore che non possiamo controllare: i servizi o piattaforme dove ci registriamo con un account. Dai Social ai siti di e-Commerce, dalle piattaforme di Home Banking fino ai forum o blog. Tutti questi servizi/portali web archiviano le nostre password e indirizzi email, oltre a svariati dati personali. E sfortunatamente gli hacker prendono spesso di mira i server di queste compagnie, rubando costantemente una ingente mole di dati ogni anno (i cosiddetti “data breach”). Probabilmente anche il vostro indirizzo email potrebbe essere già stato “compromesso”, ovvero sottratto durante uno o più data breach. Uno dei servizi più efficienti per scoprire se la propria email è stata vittima di un data breach è haveibeenpwned: basta inserire il proprio indirizzo e scoprire subito se l’indirizzo email inserito risulta coinvolto in uno o più data breach. Cambiare però regolarmente password ci permette di proteggere sempre i nostri account ed indirizzi email, anche in caso che i nostri dati (o parte di essi) ci vengano sottratti durante un data breach.

Come gestire le proprie password?

Ammettiamolo: quanti di noi ricorrono a carta e penna per scriversi il PIN del proprio bancomat? O quanti di noi scrivono le password del proprio account su qualche post-it o su una pagina di un’agenda? È normale, gestire tanti account online può diventare difficile, considerando che poi ogni account dovrebbe disporre di una password sicura e differente. Sconsigliamo caldamente di scrivere “in chiaro” le proprie password su un file Word sul proprio computer, o anche salvarle sul proprio telefono. Archiviare le proprie password con il tradizionale metodo di carta e penna può sempre tornare utile, salvo adottare le dovute misure di sicurezza: assicuratevi di non scriverle su post-it volanti, ma in un’agenda tenuta in un posto sicuro che solo voi conoscete in casa. Altrimenti potreste fare affidamento su un Password Manager, un software che si occupa di immagazzinare e tenere al sicuro le vostre password. Come per esempio LastPass, un Password Manager compatibile con tutti i browser, che da poco ha cominciato a collaborare con il servizio VPN di ExpressVPN, offrendo 1 mese di prova gratuita della rete virtuale più veloce in circolazione.