Ciò che definiamo “Password”, ovvero “parola d’accesso” in inglese, altro non è che una parola d’ordine o una sequenza di caratteri alfanumerici utilizzati per accedere in modo esclusivo a una risorsa informatica. Possono essere di diverso tipo, dal codice per lo sportello bancomat, alla password per il computer, per la casella della posta elettronica, per i programmi, accessi controllati da dispositivi o per effettuare operazioni di cifratura. Sono, pertanto, i codici che custodiscono alcuni tra i nostri dati più importanti. Dobbiamo assicurarci che siano estremamente adeguati, se vogliamo garantire la nostra sicurezza.
Prima regola: complessità
Di solito, per ricordarci le password ci affidiamo a nomi di persone a noi care, di animali domestici o soprannomi che siamo convinti sappiamo soltanto noi. Ma è veramente così? La prima regola di una password efficace è che “non deve avere senso”: non deve essere collegata a nomi di familiari, date di nascita, sequenze logiche (tipo 1234) o altro. Per una password aziendale, non deve ricollegarsi al nome dell’azienda, al nome del dipendente o del reparto. Non deve essere simile o connessa a quella di altri colleghi, né deve avere una logica nemmeno l’eventuale distorsione di parole: per esempio se si cambia la A con una L, un programma è in grado di capire la logica e individuare la parola chiave.
Esempio di Password aziendale sbagliata: AlbertoContabilità, MarcoContabilità, Contabilità1, Contabilità2 etc
Una password corretta è di solito lunga almeno 12 caratteri, con all’interno un numero minimo di caratteri speciali. Inoltre è meglio rendere le password complesse anche grazie alla complessità dei livelli su cui vengono utilizzate: se possibile, usare più password, per più livelli. Per esempio se un servizio viene utilizzato su un PC (o da smartphone etc), è preferibile creare una password di accesso al PC e un’altra password di accesso al servizio (gestionale etc), ovviamente diverse.
Seconda regola: cambiarla spesso
In accordo con il datore di lavoro, è consigliabile modificare spesso tutte le password.
Le nuove password devono essere (ovviamente) diverse da quelle precedenti e le differenze devono essere sostanziali da quelle precedenti. Non basta, in altre parole, usare la stessa parola e aggiungere un numero: per esempio passare da Gatto a Gatto01, Gatto02 ecc.
La nuova password deve rispettare la prima regola, quindi non deve avere una connessione o sequenzialità logica rispetto a quelle precedenti.
Terza regola: la segretezza
Forse una regola scontata, ma mai banale: non annotate le vostre password su fogli o altri documenti, siano essi cartacei o digitali, non dovete salvarla nemmeno su dispositivi o spazi (cloud o altri) non sicuri, né dovete memorizzarla di default. Ciò significa che dovete reinserirla a ogni nuovo accesso e non deve esser memorizzata dallo strumento in uso.
Non comunicatela a nessuno, neppure ai colleghi, né inviatevi la password alla vostra email o ad altri contatti, anche quelli che ritenete sicuri, come per esempio Banche o Istituzioni: in tali casi si tratta di “phising” ossia un tentativo da parte di organizzazioni criminali di farsi dare password (quando servono di fatto le credenziali non le chiedono con una mail o un messaggio). In tali casi non aprire nemmeno la mail.
Quando cessi di utilizzare uno strumento o un servizio, ricordati di chiudere la sessione, fare logout o comunque di attivare il meccanismo che nel singolo caso impone di reinserire la password.
Non puoi fornire la tua password neppure al tuo datore di lavoro: quando te la richiede o quando cessa il tuo rapporto di lavoro, ricordati di impostarne un’altra, concordata insieme al tuo datore di lavoro. E nel caso in cui sia stata data autorizzazione a caricare dati o documenti personali nello spazio cui si accede con la password da consegnare, rimuovi prima i files privati e personali.
Tutto quello che è al di fuori di te ti può essere sottratto, in ogni momento. Solo ciò che è dentro di te è al sicuro. (Jeannette Winterson)