Il World Password Day 2023 ci ricorda quanto è importante usare password sicure

Oggi, giovedì 4 maggio 2023, è il “World Password Day” (o giornata mondiale delle password), una ricorrenza istituita nel 2013 da Intel per sensibilizzare e rendere consapevoli gli utenti sul tema della sicurezza digitale.

In attesa che avvenga il passaggio all’era passwordless (senza password), obiettivo che si sono fissati i membri della FIDO Alliance e del W3C (World Wide Web Consortium), è bene imparare a utilizzare per bene le password, strumento utile per proteggere la propria privacy.

Cosa è il World Password Day?

La Giornata mondiale della password si celebra ogni anno dal 2013 (il primo giovedì del mese di maggio) per sensibilizzare sull’importanza della sicurezza delle password, un tema di grande attualità, soprattutto in un’epoca in cui le informazioni personali e i dati sensibili vengono conservati online. Il ricercatore di sicurezza Mark Burnett, autore del libro “La password perfetta”, ha ispirato Intel nella creazione di questa iniziativa.

In occasione del World Password Day di quest’anno, i più curiosi potrebbero chiedersi quale sia la storia dietro le password, come esse sono nate e come sono cambiate nel corso del tempo. Proviamo a soddisfare, brevemente, questa curiosità.

La storia delle password risale a tempi antichi, quando i militari utilizzavano parole d’ordine per distinguere gli amici dai nemici. Uno dei primi esempi di questo sistema risale al 264 a.C., quando l’esercito romano utilizzava parole d’ordine per comunicare in modo sicuro.

Nel corso dei secoli, le password sono state utilizzate in vari contesti, come ad esempio nella diplomazia e nella politica, dove venivano utilizzate per proteggere informazioni riservate.

Con l’avvento dei computer negli anni ’60, le password hanno assunto un ruolo sempre più importante. Nel 1961, il ricercatore Fernando Corbató sviluppò il primo sistema di password per i computer, che permetteva agli utenti di accedere ai propri file personali in modo sicuro. Nel corso degli anni, le password sono diventate sempre più complesse, con l’inserimento di numeri, lettere maiuscole e caratteri speciali.

La popolarità delle password è stata inoltre alimentata dalla cultura popolare, con film come “Wargames – Giochi di guerra” (1983), “Mission: Impossible” (1996) e “Matrix Reloaded” (2003) in cui le password entravano a far parte della trama: ad esempio, in “Matrix Reloaded“, la protagonista Trinity riesce a resettare una password del sistema informatico di una centrale elettrica utilizzando “Z1ON0101”.

Alcuni momenti salienti degli ultimi 12 mesi

Dalla ricorrenza dello scorso anno (occorsa giovedì 5 maggio 2022) ad oggi, abbiamo più e più volte parlato e sentito parlare di situazioni legate alle password e, più in generale, alla sicurezza digitale.

Mentre gli attacchi hacker alle aziende (anche grosse) e agli utenti diventano sempre più frequenti, i colossi del settore informatico cercano continuamente di trovare soluzioni al problema, fermo restando che, al momento, il tutto potrebbe essere parafrasato con un “aiutateci ad aiutarvi”. Facciamo ordine.

Giovedì 5 maggio 2022 vi abbiamo raccontato che Google, Apple e Microsoft stessero avviando una collaborazione per un futuro senza password con l’obiettivo finale di passare dalle password alle passkeys, chiavi digitali univoche facili da usare e sicure per gli utenti che sostituiranno le canoniche password, rendendo più sicuri, rispetto ad oggi, gli accessi ad app e siti Web.

Apple ha annunciato la futura introduzione delle passkeys su iPhone, iPad e Mac in data 8 giugno 2022 ma, ad oggi, l’unica realtà ad essere passata dalle parole ai fatti è stata Google, che ieri, giusto in tempo per il World Password Day 2023, ha dato il via all’era passwordless annunciando il nuovo sistema di accesso ad app e siti Web tramite passkeys.

Al netto dei contenuti relativi ai giganti del settore che lavorano per rendere più sicuro l’accesso ad app e siti Web, negli ultimi 12 mesi vi abbiamo raccontato un episodio etichettabile come “Don’t try this at home” (non fatelo a casa). Nel luglio del 2022 l’onorevole Maurizio Gasparri, attuale Vicepresidente del Senato della Repubblica Italiana, ha spiattellato la propria password durante una diretta televisiva sul canale La7.

L’episodio è rimbalzato dovunque tra Web, carta stampata e televisioni, dimostrando la poca attenzione che, ancora oggi, mettiamo sul tema della sicurezza informatica.

A tutto ciò, si aggiunge un altro argomento di cui abbiamo parlato lo scorso mese e che mette in mostra il lato “oscuro” dell’intelligenza artificiale generativa o, meglio, di chi la utilizza: uno studio di Home Security Heroes ha realizzato PassGAN, uno strumento basato proprio sull’intelligenza artificiale generativa che è stato in grado di compromettere il 51% delle password più comuni in meno di un minuto.

Questo non deve, però, sorprendere del tutto: stando ad un recente report di NordPass, tra le 200 password più utilizzate in Italia nell’anno 2022 rientrano ancora capolavori come “123456” (o “123456789” se se sono richiesti più caratteri) e “qwerty” ma al primo posto (a livello globale) troviamo ancora “password“.

Oggi è il World Password Day 2023

Il World Password Day 2023 è quindi l’ennesima occasione per consapevolizzare gli utenti nella scelta delle loro password e, più in generale, verso l’utilizzo di tutti gli strumenti possibili per mettere al sicuro i propri dati.

In attesa che si compia il passaggio alle passkeys, è importante scegliere password fatte per bene e memorizzarle all’interno di un password manager (Google ed Apple, ad esempio, ne forniscono uno all’interno dei propri dispositivi, collegato direttamente all’account utente).

La campagna del Garante per la privacy

In occasione del World Password Day 2023, il Garante per la protezione dei dati personali ha avviato una campagna di comunicazione istituzionale intitolata “Finalmente un po’ di privacy” che punta a “diffondere il valore dei dati e l’importanza di proteggerli, raccontando il lavoro di un’Autorità vicina alla gente”.

La campagna copre anche altre tematiche di spicco come il cyberbullismo, revenge porn, telemarketing selvaggio, phishing e tanto altro, oltre al discorso legato alle password:

Le password proteggono i nostri dati personali: è bene quindi sapere come impostarle e gestirle nel modo più idoneo per garantire la privacy e la sicurezza delle informazioni che ci riguardano, della nostra riservatezza, del nostro conto bancario, dei dispositivi che utilizziamo.

A sottolineare l’invito alla consapevolezza del valore privacy, il Garante ha scelto una frase indicativa per concludere le varie clip che compongono campagna e sono in distribuzione tra le reti RAI e i canali Web: “Se proteggi i tuoi dati proteggi stesso“.

Cosa fare per proteggere le nostre password

Fermo restando che sarebbe comunque ottimale affidarsi ad un password manager, che si occuperà di generare una password decisamente complessa e ricordarla al posto vostro, ecco un elenco di fattori che assicurano che la sicurezza della password sia difficile da compromettere:

• Utilizzare almeno 15 caratteri.
• Inserire almeno due lettere (maiuscole e minuscole), numeri e simboli nella password.
• Evitare schemi di password ovvi, anche qualora soddisfino i precedenti requisiti.

Oltre alla scelta della password, ci sono anche altre misure di sicurezza da mettere in atto per tenere al sicuro i propri dati online:

• Assicurarsi di utilizzare l’autenticazione a due (o più) fattori (2FA/MFA) non affidandosi a quella tramite SMS, quando possibile; ci sono un sacco di servizi molto utili (e gratuiti, vedi Google Authenticator) per generare codici per la 2FA.
• Non utilizzare la stessa password su più account
• Non condividere con altri utenti le password
• Aggiornare regolarmente le password, in particolar modo quelle degli account più importanti (account bancari, indirizzi e-mail).
• Astenersi dall’utilizzare il WiFi pubblico, soprattutto per accedere alle app dei conti bancari e ad altri servizi “sensibili”.

Pensando al prossimo World Password Day, chissà se nel 2024 avremo ancora a che fare con le password o se sarà già matura l’era delle passkeys. Solo il tempo ci darà la risposta.