10, 100, 1000 password e come archiviarle

Pensieri in codice. Idee dal mondo del software a cura di Valerio Galano. Salve a tutti e ben ritrovati su Pensieri in codice, il podcast in cui parliamo di argomenti presi dal mondo del software, di internet e della programmazione. L’argomento di cui vorrei parlare oggi mi è venuto in mente a seguito di una conversazione avuta durante la settimana scorsa. La persona con cui ho parlato e che mi ha scatenato questo pensiero è un professionista che ha da poco adottato un gestionale in cloud per motivi legati al proprio lavoro e il problema era configurare l’accesso a questo software su un nuovo pc e pur essendo un utente abbastanza smaliziato mi ha chiesto aiuto perché semplicemente non svolge normalmente attività legate all’utilizzo del computer e voleva un po’ di supporto. Ovviamente dopo un’installazione per far funzionare il software abbiamo dovuto inserire le credenziali di autenticazione e quindi dopo che gliele ho chieste questa persona si è alzata è andata a prendere un’agenda una di quelle compatte e un po’ grassottelle piene di appunti foglietti post it eccetera e dopo averla sfogliata un po’ mi ha messo davanti una pagina con scritte tutta una serie di credenziali. A quel punto è scattata la domanda e ho chiesto scusa ma tu le password le annoti tutte sull’agenda e la risposta è stata beh dove altro dovrei annotarle? Da qui mi è venuta l’idea che in effetti se magari per qualcuno è banale utilizzare uno strumento di conservazione delle password è anche possibile che tanti altri non siano neanche a conoscenza delle varie possibilità e quindi si affidino semplicemente alla prima che gli viene in mente. Purtroppo nel mondo di oggi abbiamo tantissime password siamo iscritti a centinaia di servizi account social, email, le app sullo smartphone, i gestionari vari, le web application. Ognuno di questi servizi necessita almeno in generale di un username e una password per permetterci di accedere. Dal momento che è impossibile ricordare tutte le password è indispensabile avere un metodo per archiviarle e poterle recuperare all’occorrenza e prima che me lo scriviate nei commenti leviamoci subito questo dente. Usare la stessa password per i vostri account per tutti i vostri account è sbagliatissimo è una pratica assolutamente da evitare. Tra un servizio e l’altro la combinazione di username e password deve essere assolutamente differente e questo per un motivo molto semplice perché i database dei vari servizi anche quelli grandi come facebook e linkedin non sono sempre sicuri al cento per cento. Può capitare ed è capitato che si verifichino grandi attacchi hacker ai danni di questi servizi e che in questi attacchi vengano rubate anche milioni di credenziali oppure può capitare che vengano creati e lasciati incustoditi per errore grossi archivi di credenziali ad esempio a causa di un log generato male o anche per via di qualche applicazione per uso interno dell’azienda che possa finire nelle mani sbagliate. Chiunque entri in possesso di tali credenziali potrà facilmente accedere al vostro account e se avrete utilizzato la stessa password e lo stesso username per un altro servizio allora quella stessa persona potrà accedere anche a quest’altro servizio e va da sé che se avete utilizzato la stessa username e password per tutti i vostri servizi beh allora potresti avere un problema. Per inciso se volete verificare se le vostre credenziali sono mai state rubate o sono finite in una delle tante frazioni digitali conosciute potete farvi un giro sul servizio firefox monitor che vi linko in descrizione e che potete utilizzare anche per farvi avvisare in caso di nuovi furti di password. Bene ora che abbiamo stabilito che le password devono essere tante e tutte diverse proprio per la nostra sicurezza cerchiamo di capire come fare per archiviarle in modo da non diventare matti. Opzione numero uno che ho anche scoperto essere una delle più gettonate tra i non informatici la carta. Che sia un’agenda un quadernetto un block notice moltissimi annotano le proprie password con carta e penna questa anche se secondo me non è la migliore delle soluzioni ha comunque alcuni punti di forza innanzitutto è assolutamente inaccherabile nel senso stretto del termine nel senso che essendo non digitale non vi è in modo di accedervi senza avere fisicamente sotto mano il supporto cartaceo per contro è anche una soluzione abbastanza fragile a meno di scrivere tutto in codice chiunque l’abbia a portata di mano anche solo per qualche secondo potrebbe farne una foto e ne avrebbe comodamente a disposizione il contenuto quando e come vuole. Inoltre se l’agenda dovesse per sbaglio andare persa o distrutta se il proprietario non si fosse premonito di farne una copia allora non avrebbe alcuna possibilità di recuperarne il contenuto. Una seconda soluzione anche questa molto gettonata è quella di utilizzare il gestore password del browser avete presente quando accedete a un servizio e il browser vi chiede vuoi salvare la password? beh questa è sicuramente una delle alternative più comode perché basta cliccare salva si salva una password e in fase di autenticazione non è nemmeno più necessario cercarle le credenziali dato che il browser stesso ha pre compilare i campi al posto nostro. Ultimamente alcuni browser permettono anche di utilizzare servizi di sincronizzazione tra dispositivi diversi quindi si possono sempre avere a disposizione le proprie password anche se si utilizzano più computer o più smartphone. Il principale limite di questo approccio tuttavia è che i sistemi di memorizzazione integrati nei browser non sono particolarmente noti per le caratteristiche di sicurezza e pertanto potrebbero non essere il mezzo più adatto per proteggere le nostre password da eventuali attacchi esterni. Se poi ci aggiungiamo anche la funzione di sincronizzazione potremmo rischiare di esporre il nostro archivio di password a chiunque abbia accesso ad uno qualsiasi dei computer che utilizziamo solitamente. Una terza soluzione che ahimè è piuttosto in voga fra gli informatici è l’utilizzo di un file di testo. Un archivio in txt seppur particolarmente semplice da modificare e da consultare rappresenta però un enorme problema dal punto di vista della sicurezza. A parte il fatto che a chiunque basterebbero due minuti di accesso alla tastiera del pc per rubarne una copia e nessuno se ne accorgerebbe mai c’è anche da considerare il fatto che probabilmente questo file potrebbe essere sincronizzato per comodità fra vari pc o addirittura rientrare in un qualche meccanismo di backup dei dati. In tal caso di questo file esisterebbero più copie magari anche all’insaputa del proprietario distribuite su più server di backup o sincronizzazione e diciamocela tutta non sarebbe poi così difficile per chi ha accesso a tali server recuperarlo e utilizzarle il contenuto. Non sarebbe necessario per forza un tentativo di hacking ma semplicemente basterebbe trovare chi ha accesso ai server per manutenzione o configurazione. La soluzione invece che personalmente utilizzo io stesso e che solitamente consiglio a tutti è quella di dotarsi di un apposito software per la gestione delle password. Software del genere solitamente creano dei file criptografati sul pc e vi conservano all’interno tutte le informazioni inserite nell’archivio criptandole con algoritmi di cifratura che includono la password stessa dell’archivio. In questo modo si possono avere anche migliaia di password differenti ma è necessario tenerne a mente solamente una, solamente quella dell’archivio. Inoltre è possibile trasferire il file archivio e farne copie di backup riducendo però drasticamente la possibilità che qualcuno lo recuperi e ne utilizzi il contenuto a nostra insaputa. A corredo i software di password management offrono anche tante piccole utility come la ricerca, la generazione automatica delle password e l’inserimento automatico delle credenziali nei form di autenticazione. Se vi va di provarne uno vi linko in descrizione il sito del password manager che sto utilizzando ormai da anni, KeePassXC. Si tratta di un software open source e quindi gratuito e il cui codice viene monitorato costantemente dalla comunità degli sviluppatori. Mi rendo conto che questa soluzione suona un po’ più complicata ma in realtà è solo una questione di abitudine. Secondo me si tratta solo di un compromesso che a fronte di un piccolo sforzo in più però restituisce grandi vantaggi sia in termini di sicurezza che di funzionalità che di efficienza. Infine giusto per completezza vi segnalo che nell’ultimo periodo sono stati sviluppati anche molti servizi di password management in cloud, dei software di gestione cioè che invece di essere installati sul pc sono disponibili direttamente online. Ad essere del tutto sincero non ne ho ancora provati tuttavia a livello generale mi sento un po’ diffidente nei confronti di servizi del genere e nel caso si abbia bisogno di avere il proprio archivio password sempre a portata di mano consiglio più l’utilizzo di una semplice chiavetta usb oppure di spostare il file di archivio tra i propri sistemi utilizzando un servizio di trasferimento che magari già si conosce. Con questo si conclude l’episodio di oggi e come al solito vi ringrazio per aver ascoltato fin qui spero che questa chiacchierata vi torni utile e vi invito a condividere le vostre opinioni con un commento oppure unendovi al nuovissimo gruppo telegram di pensieri in codice di cui trovate il link in descrizione. Se utilizzate un metodo differente per archiviare le vostre password o volete aggiungere qualcosa a quanto detto non esitate a prendere parte alla discussione. Per oggi è tutto vi ricordo che questo podcast è disponibile su Spreaker, YouTube, Spotify ed iTunes e vi do appuntamento alla prossima settimana. Buona giornata a tutti!