La medaglia d’oro

Era il mio turno. Salire sul gradino più alto del podio. Avevo vinto. Si, io, proprio io. Avevo vinto. Avevo vinto la medaglia d’oro. Non era stato facile arrivare a quel punto, ma ce l’avevo fatta. Avevo battuto una folta concorrenza e alla fine avevo prevalso su tutti. Iniziò la cerimonia di premiazione. Dall’altoparlante una voce scandiva i nomi dei vincitori delle medaglie di bronzo e di argento. Poi annunciò: “Il vincitore della medaglia d’oro…”…. che emozione, stava per dire il mio nome.  Mentre stava per partire il tripudio e poi l’inno, mi passarono velocemente davanti agli occhi tutte le immagini delle gare precedenti, a partire dalle qualificazioni, poi i quarti, la semifinale e la finale. Avevo passato il primo turno con un classico dei classici: la mia risposta era stata: “Utilizzo un file ascii chiamato password.txt per memorizzare le mie password”. Era stato un gioco da ragazzi, non ci voleva un granchè. I quarti di finale erano stati un po’ più sudati, ma alla fine li passai con l’affermazione “da qualche tempo ho spostato il file password.txt sul desktop, così lo trovo più facilmente”. La semifinale mi diede del filo da torcere, alla fine risposi con: “Non utilizzo nessuna password di accesso al computer, rischierei di dimenticarla e di non poter accedere più ai miei contenuti”. Ma il meglio di me lo diedi in finale… la competizione era al massimo livello, ma io avevo conservato il mio colpo migliore con il quale vinsi meritatamente: “uso una sola password uguale per tutto”.
“Il vincitore della medaglia d’oro nella gara : ‘Pirla del secolo in fatto di sicurezza dei dati personali’ è …. ” (rullo di tamburi): “Mario Sebastiani”.

Alle volte, nella nostra vita digitale, assumiamo dei comportamenti che neanche ci sogneremmo nella vita reale. Chi di noi, infatti, utilizzerebbe un’unica chiave per la porta di casa, la macchina, la cassetta dei valori, il motorino, etc etc? Nessuno, perché l’eventuale sottrazione (o smarrimento) dell’unica chiave metterebbe a serio rischio il mantenimento della nostra proprietà. Invece nella nostra vita digitale spesso trascuriamo questo aspetto, ci lasciamo vincere dalla pigrizia e facciamo nostro un atteggiamento del tutto illogico: mi riferisco al fatto che molti di noi utilizzano le stesse credenziali, ossia la stessa coppia di utenza e password, per tutto, partendo dai propri account di email fino al conto corrente in banca, passando per le registrazioni ai siti, anche quelli meno “ortodossi”.
La questione “sicurezza” è sempre complessa e articolata, non è semplice affrontarla correttamente. Possiamo però tentare di iniziare da alcune nozioni di base che, sebbene non esaustive, possono aiutarci a migliorare la nostra comprensione e consapevolezza relative all’argomento.
Dicevamo, dunque, della cattiva abitudine di utilizzare la stessa password per tutti i nostri account. Grazie alla similitudine raccontata prima, è facilmente intuibile come questa prassi sia del tutto sbagliata: se qualcuno viene in possesso della mia password, tutti i miei account sono potenzialmente vulnerabili.
Analizziamo punto per punto la questione. Primo, perdere la password. Non è così difficile come potrebbe sembrare a prima vista. Molti conservano le password in un documento di testo chiamato password.txt (l’ho visto io molte volte con i miei occhi), spesso in bella mostra sul desktop. Altri, più tecnologici, utilizzano un foglio di calcolo per lo stesso scopo. Qualcuno arriva anche a mettere una password di protezione, magari scrivendola su un post-it elettronico appiccicato sempre sul desktop. A queste malsane abitudini possiamo aggiungere il diffondersi capillare dei dispositivi mobili personali. Smartphone, tablet, cellulari avanzati: questi marchingegni tecnologici sono utilissimi per avere la propria mail sempre sotto controllo, i propri servizi a portata di polpastrello. Ma per poterne usufruire dobbiamo mettere dentro le nostre credenziali. Queste credenziali sono potenzialmente a rischio perché, tra le altre cose:
  1. la proliferazione di “app” abbatte il nostro senso critico (le “app” richiedono sempre più permessi di smanettare sui nostri dispositivi e noi, incuranti, glieli concediamo tutti) e ci vuole poco a beccarsi una “app” malevola che ti frega la password del tuo account di posta elettronica.
  2. aggiungiamo la maggiore facilità di perdita di questi dispositivi, vuoi per la dimenticanza e la sbadataggine, vuoi per il furto.

Quindi, per concludere il punto primo: perdere la password non è poi così difficile, o almeno è meno difficile di quanto vogliamo credere.

Secondo punto: tutti i miei account sono potenzialmente vulnerabili. Vedo subito alzare l’indice dal più attento dei miei lettori: “E che ne sa il ladro dei miei account?”. Ottima domanda. Intanto, per non saper nè leggere nè scrivere, il ladro si farà un bel giro sui siti e sui servizi più “di moda” e quindi passerà in rassegna Gmail, Twitter, Facebook, LinkedIn, Yahoo, Poste, Banche e chi più ne ha più ne metta. Magari vi può sembrare che non riesca a rubare molto, ma, a mio modesto avviso, già il furto d’identità è una grandissima perdita. Vedere twittato a nome nostro “Siete tutti una gran massa di imbecilli” non è il massimo, ma, soprattutto, avere qualcuno che fruga nelle nostre mail e che, magari, utilizzando quell’account si fa resettare la password del sito della banca…. beh… il limite qui è solo la fantasia e, ahimè, chi fa queste cose di fantasia ne ha da vendere.
Ora che vi ho diligentemente “terrorizzato”, passiamo alla parte educativa. Quali contromisure possiamo adottare?
Non esiste una regola generale, esistono una serie di pratiche che limitano queste esposizioni. Partiamo dalla più semplice: utilizzare password differenti per ciascun sito/servizio. Per memorizzarle tutte utilizziamo uno dei tanti programmi che ci sono in giro (in un precedente post vi avevo parlato bene di Keepass, cfr. http://www.mariosebastiani.info/2012/01/10/un-lungo-brivido-freddo/). Questo programma dispone anche di un “generatore” di password, ottimo strumento per i più pigri. Altrimenti possiamo adottare uno “schema” per le nostre password e crearle di volta in volta seguendo quel modello. Ad esempio:
  • abcdef1234, sei lettere, quattro numeri
  • abc12#!34, tre lettere, due numeri, due caratteri speciali, due numeri
  • sito_aammgg, prime quattro lettere del sito/servizio, data del cambio password nel formato anno/mese/giorno (tutti con due cifre, es. 120917 = 2012 Settembre 17)
  • abcdef12g34 (analogo al codice fiscale), sei lettere, due numeri, lettera, due numeri

oppure scegliere una serie di due o tre parole (per esempio: chiamo un taxi) e, dopo aver tolto gli spazi, sostituire alcune vocali con i numeri, secondo lo schema: A=4, E=3, I=1, O=0 (per esempio: ch14m0unt4x1).

Aumentiamo un po’ il livello di paranoia e decidiamo di utilizzare email differenti per ciascun account. Ai giorni nostri questo non rappresenta più un problema, esistono migliaia di servizi email gratuiti ai quali possiamo ricorrere per avere un indirizzo di posta elettronica gratuito. Sarà sufficiente abilitare l’opzione di inoltro delle email al nostro indirizzo principale e il gioco è fatto.

Infine, last but not least, cambiamo le password ogni tanto anche se il sito/servizio non ce lo chiede. Keepass ha un’opzione di scadenza su ciascuna password e ci avvisa quando la password è “scaduta”. Basterà impostare a un mese (o tre mesi, i canonici 90 giorni) la data di scadenza e poi ci avviserà lui quando è il momento di cambiare la password per quell’account.

Riepilogando: non si arriverà mai alla sicurezza assoluta, ma di certo utilizzare password diverse per ciascun account e memorizzarle utilizzando un programma ad-hoc ci aiuta ad alzare una palizzata un po’ più alta per la difesa dei nostri dati personali.

1 Comment

Filed under Spunti di riflessione

One Response to La medaglia d’oro

  1. lorydance

    Grazie Mario!!!! Effettivamente fino a che non prendi una scottatura non prendi le dovute cautele.
    Lorydance

Rispondi