No, non abbiamo ancora imparato a scegliere le password 🤬
Il report annuale di NordPass parla della pessima scelta che facciamo delle password. Il giorno in cui ci cureremo dei nostri profili digitali è ancora lontano. Ma una speranza c'è.
Tempo stimato per la lettura: 9 minuti
La parola di oggi: Codice OTP, One Time Password, è il codice che viene inviato tramite SMS quando si abilita l’autenticazione “forte”, ovvero quella a due fattori.
» EDITORIALE: Non importa quanto sei grande, il rischio è sempre dietro l’angolo
È uno strano momento per i social network. Tra le imposizioni della Comunità Europa che costringono la più grande azienda del settore, Meta, a lanciare uno sbilenco piano in abbonamento per le sue popolari piattaforme Facebook e Instagram1, e l’altro grande social - Twitter o se preferite X - che perde giorno dopo giorno utenti e inserzionisti per colpa delle esternazioni del suo esuberante neo-proprietario, i social network cominciano un po’ a scricchiolare. Tutti tranne uno, l’outsider, quel TikTok che arriva da lontano e che l’occidente ha provato a osteggiare finché non si è dovuto arrendere a un irresistibile balletto troppo coinvolgente per essere ignorato.
Non sono solo i social network a vivere un momento strano. Ci sono anche i colossi del settore tecnologico, che pensavano ormai di avere in tasca chi un motore di ricerca, chi i dispositivi più ambiti e lussuosi. I primi, quelli di Alphabet, proprietari del motore Google, hanno cominciato a tremare di fronte alla rivoluzione delle chat basate su LLM (Large Language Model, ovvero intelligenza artificiale), correndo ai ripari in modo scomposto e traballante. I secondi, quelli degli iPhone e dei Mac, hanno cominciato a veder calare le vendite dei propri dispositivi rifugiandosi nei servizi.
Gli equilibri stanno cambiando e se c’è una cosa che è chiara, per il mondo della tecnologia più che in ogni altro settore, è che non esiste lo status quo. Non esiste la realtà consolidata e inamovibile. Basta una startup con l’idea giusta e/o il tempismo perfetto a mettere in crisi mega multinazionali dai fatturati a nove, dieci o undici cifre.
Lo sanno bene anche nel mondo dei videogiochi. Ora che Nintendo è tornata sulla cresta dell’onda e che ha venduto una quantità incredibile di Switch, la console da gioco portatile che spopola tra i giocatori di tutte le età, ci si chiede se sarà capace di bissarne il successo o se rischierà, come fu all’epoca della console che precedette Switch, di tornare sull’orlo dell’abisso.
Perché, che piaccia o meno, quando si vola troppo in alto ci sono poche possibilità di volare ancora più in alto e moltissime invece di scendere più in basso. E poi c’è il solito problema, quello caro a Icaro, dell’avvicinarsi troppo al sole.
Buona lettura.
Franco A.
» C’É UNA SOLA COSA CHE RENDE GLI ESSERI UMANI TUTTI UGUALI: LE PASSWORD STUPIDE
Arriverà il momento in cui la coscienza diffusa sull’importanza delle password cambierà queste imbarazzanti classifiche. Arriverà, ma per quest’anno ci tocca ancora una volta scorrere la classifica mondiale delle password più comuni e chiederci quando arriverà, seppure sembra essere sempre troppo lontano.
Se esiste una caratteristica che accomuna tutti gli essere umani, azzerando in un tratto di penna differenze di pelle, di colore, di etnia, di lingua e di culture e religioni, beh, questa è la scelta che facciamo delle password.
La classifica annuale di NordPass, che esamina ogni anno decine di terabyte di dati contenuti in database di password trafugate, mostra sempre le stesse in diverse combinazioni. Si va da “password” a “123456”, passando per “qwerty” o “admin”. E questo vale per ogni settore. Non importa che il sito sia un social network o un sito finanziario, la fatica di scegliere una password complessa è troppo grande persino se a rischio c’è la sicurezza dei nostri dati personali o del nostro conto in banca. Ma è così difficile scegliere una password robusta?
LE PASSWORD PIÚ RIDICOLE AL MONDO
Nonostante abbia appena scritto che tutta l’umanità è accumunata dalla banalità delle password, esistono delle differenze da paese a paese. NordPass, che poi è la stessa società che produce l’onnipresente (quantomeno come sponsor di canali YouTube) NordVPN e che no, PURTROPPO non ha sponsorizzato questa puntata di Insalata Mista, mette a disposizione questi dati, diligentemente divisi per nazione.
In Italia abbiamo sul podio “admin”, “123456” e “password”, seguite da “Password” (con la maiuscola), “12345678” e, botta di originalità, “123456789”.
Mi hanno fatto ridere però le password che arrivano dopo le prime dieci e che contengono dei nomi. Sono tantissimi i Francesco ad aver usato la password “francesco”, seguiti da “riccardo”, “corrado”, “francesca” (ma certo), “andrea” e “juventus”. Vedremo poi che la fede calcistica torna spesso nelle password. Infatti nel Regno Unito troviamo “arsenal”, “liverpool” e “chelsea”.
Che poi, trattandosi di nomi, cosa costava usare almeno una lettera maiuscola? “Ma cosa vuoi che cambi una maiuscola?”. Cambia e pure molto. Sapete perché? Nella classifica di NordPass, oltre alla frequenza di utilizzo delle password, c’è anche il tempo necessario per decifrarle. Tutte viaggiano ormai su tempi inferiori al secondo, con una sola eccezione: “UNKNOWN”, che richiede 17 minuti. Comunque poco, ma un’eternità rispetto al secondo (o meno) necessario a craccare le altre password.
Il motivo è semplice: la quasi totalità dei sistemi per “bucare” una password si basa su attacchi di tipo bruteforce, ovvero tentativi ripetuti con tutte le combinazioni. A volte con il supporto di database di password o parole frequenti. Ebbene, facendo il tentativo con tutte le combinazioni di lettere, numeri e simboli, ci si mette più tempo ad arrivare alle maiuscole rispetto alle minuscole che sono le prime con cui si effettuano i tentativi. Che poi è il motivo per il quale, quando ci viene chiesto di scegliere una password, si parla di minimo 8 caratteri e uso di maiuscole, numeri e caratteri speciali.
«NON HO NIENTE DA NASCONDERE»
Quando si discute sull’importanza di una password, la protesta più comune poggia le basi su una tesi secondo la quale non avendo niente da nascondere, allora nessuno sarebbe interessato a bucare il proprio account. Oppure, nel caso malaugurato in cui venisse bucato, il malintenzionato non troverebbe niente di compromettente.
Ammesso che questo sia vero - e vi invito caldamente a controllare per puro scrupolo quante informazioni riservate e delicate conservate soltanto nella vostra casella di posta - c’è un fatto che in molti trascurano.
Rubare una password significa entrare in possesso di un account. Quando vi rubano un account social, per fare un esempio, possono fare dei post pubblici a vostro nome, mandare dei messaggi ad altre persone, magari truffandole sfruttando proprio il rapporto di fiducia che quelle persone hanno con voi.
«Mi è scaduta la carta di credito, mi puoi versare 1000€ su PayPal, te li ridò domani?». Se una richiesta del genere arrivasse da un vostro caro amico, magari rischiereste di cascarci.
Poi c’è un livello ancora più profondo e preoccupante, dal quale dovreste proprio cercare di tenervi lontani, che è quello della criminalità organizzata, che potrebbe utilizzare il vostro account per fare cose che voi non vorreste mai sapere.
Ma poi, al di là di quello che potrebbero farci, non vi darebbe tremendamente fastidio che qualcuno prendesse possesso del vostro account, delle vostre foto, delle vostre conversazioni social impedendovi per sempre di tornarne in possesso? Perché questo succede di solito: indovinano la password, entrano, la modificano, modificano email o telefono cellulare di recupero e voi siete tagliati fuori per sempre. Senza possibilità di appello.
COME SI SCEGLIE UNA PASSWORD ROBUSTA
Vi ho spaventati abbastanza? Se si, allora ora vi semplificherò un po’ la vita aiutandovi a scegliere delle password robuste senza impazzire.
Dunque, sgombriamo il campo da un grande fraintendimento: le parole di senso compiuto NON VANNO USATE. «Eh ma come fanno a pensare che sono un appassionato di Platone e che ho scelto come password Fedone1989?». Ve lo dico io, anzi ve l’ho già detto: ci si basa su database di parole comuni. Un computer moderno può fare miliardi di tentativi al secondo, quanto tempo volete che ci voglia per arrivare a testare la vostra, introvabile parola? Pochissimo, appunto. E non c’entrate niente voi, se usate “Vivaldi” nella password perché abitate in Corso Vivaldi, non c’è bisogno che sappiano che abitate lì, perché Vivaldi è appunto una parola comune, di senso compiuto (un nome in questo caso).
Una volta avevo dei sistemi per generare delle password facilmente memorizzabili e molto complesse, ma sapete che c’è? Non serve più a niente. Primo perché esistono decine di siti che possono generare password complesse per voi, secondo perché ormai lo fanno i sistemi operativi o il browser del vostro computer o smartphone. Ed è semplicissimo!
Se usate il browser Chrome di Google, per esempio, basterà cliccare col tasto destro del mouse sul campo password di un form di registrazione qualsiasi per compilarlo con una password molto complessa. «Eh ma poi non me la ricordo». Sbagliato! Chrome la memorizzerà per voi. E la stessa cosa fanno Firefox o il portachiavi iCloud di Apple, che tra l’altro sincronizza le password tra i vari dispositivi di uno stesso utente, così se salvate una password generata sul telefono, ve la ritroverete anche sul computer.
Quindi, ripetete con me: quando si sceglie una password, meglio usare un password manager che includa anche la generazione. Arrivo anche a dirvi, nonostante non abbiano sponsorizzato mai Insalata Mista, che NordPass potrebbe essere un’ottima soluzione, visto che è disponibile su tutti i sistemi operativi, su tutti i dispositivi e su tutti i browser.
LA PASSWORD È SUPERATA: I NUOVI SISTEMI DI SICUREZZA
Ma poi la password è ormai superata da tutti i sistemi di autenticazione sofisticati che sono stati lanciati, tanto che si parla di molti servizi che hanno “eliminato la password”. Com’è possibile? Beh, iniziamo dall’autenticazione a due fattori, che già da sola aumenta tantissimo il livello di sicurezza. Il paradigma della sicurezza in questo caso è “una cosa che hai”, nove volte su dieci lo smartphone, sul quale viene inviato un codice via SMS o un token tramite un’applicazione specifica.
Di queste app “authenticator” ne esistono diverse e servono a generare token per tanti servizi diversi. Le più note sono Google Authenticator e Microsoft Authenticator, ma piano piano ogni servizio si è costruita la sua app token personalizzata, come Aruba per lo SPID, tanto per fare un esempio italiano.
Gli smartphone integrano già da anni sistemi di autenticazione biometrica, dunque il paradigma non è più “una cosa che hai”, ma diventa “una cosa che sei”. Il primo, il più banale, è “una cosa che sai”, ovvero la password, appunto.
Tramite impronta digitale o scansione del viso, è possibile autenticarsi anche senza digitare una password. Lo stesso sistema è stato trasposto su computer e smartwatch.
Infine esistono le applicazioni di Secure SignIn, che ti inviano una notifica quando stai provando a entrare in un servizio. Cliccando sulla notifica è possibile fare l’accesso senza digitare la password. Tutto ciò elimina del tutto la password? Assolutamente no, ma fa in modo che sia più semplice autenticarsi senza dover digitare password complesse. E sapete perché? Perché così potrete scegliere una password molto complessa! E voi invece che fate? “123456”. È una battaglia persa. 😓
In ogni caso, sappiate che quella password rappresenta le vostre chiavi di casa, se la trascurate poi vi entrano in casa, il che non è mai una cosa piacevole. Il consiglio è: generate password super complesse e poi rendetevi la vita facile con un password manager, piuttosto salvando le password nel browser (consiglio che non piacerà agli esperti di sicurezza, ma sempre meglio che non usare password banali o scriverle su un post-it attaccato sul monitor). E poi aggiungete un telefono al vostro account per abilitare l’autenticazione a due fattori. Già questa, pur con tutti i suoi limiti, rappresenta un misura di sicurezza fondamentale.
Dai, smettetela di leggere l’Insalata e andate a modificare la password. Adesso!
» COSE MOLTO UTILINK 🔗
Gli articoli più interessanti che ho letto in settimana, insieme ai link utili o semplicemente curiosi che ho trovato in giro per internet.
» Bill Gates e il futuro del computer (le ultime volte c’ha sempre indovinato)
Bill Gates, in questa Gates Notes, ci racconta come si evolverà l’uso del computer nei prossimi anni grazie all’implementazione sempre più decisa di strumenti di intelligenza artificiale. La lettura è particolarmente interessante soprattutto alla luce del fatto che, quando ha fatto previsioni sul futuro della tecnologia e del computer, non ne ha mai sbagliata una. Molto interessante.
» La fobia del cancro
Come tutte le persone che hanno perso una persona cara per via del cancro, ho la costante paura di ammalarmi della stessa malattia, lo ammetto. Tuttavia, si legge in questo interessante articolo di Psychology Today, la paura del cancro è cresciuta negli ultimi anni. Il cancro, in realtà, si sta diffondendo perché aumenta l’eta media dell’essere umano. Vivendo di più, aumentano le possibilità di sviluppare una malattia degenerativa. È una buona notizia? Non proprio, ma può aiutare a vedere la cosa in maniera più razionale.
» CONSIGLI PER L’ASCOLTO 🎧
Il consiglio per l’ascolto questa volta è un po’ autoreferenziale. Abbiamo parlato nella scorsa Insalata di Social Network. Un episodio di Digitali e Markettari, il podcast di tecnologia e marketing di cui registrai 10 episodi qualche tempo fa, parla proprio di TikTok e di come sia una piattaforma perfetta per il business.
» SFAMA LA FOMO!
Cos’è la F.O.M.O.?2
» Arriva l’app di Windows… su Mac
L’esperimento è strano ma al tempo stesso intrigante e la dice lunga su quanto Microsoft stia stravolgendo ogni certezza su sul conto. L’app di Windows, lanciata per ora su smartphone Android, arriverà presto anche su iPhone e Mac. Permetterà di utilizzare una serie di servizi leganti a Windows, come la remotizzazione di un desktop tramite cloud o tramite Desktop Remoto. Un servizio fondamentale per l’uso business, ma che potrebbe cambiare tutto anche in ambito consumer. Insomma, hai visto mai che un utente Mac, anziché installare una macchina virtuale, potrebbe più facilmente “noleggiare” una macchina Windows 11 nel cloud Azure?
» I messaggi RCS arriveranno su iPhone (ma sempre verdi)
Quello dei messaggi RCS è una diatriba che va avanti da molto tempo e che Google spinge fortemente. La questione è molto semplice: Apple ha imposto il suo standard, discretamente popolare soprattutto negli Stati Uniti, di messaggistica istantanea che è iMessage, evidenziando la differenza dei messaggi che sono di colore blu se arrivano un utente iMessage (e quindi Apple), mentre tutti gli altri sono verdi. Google invece non è riuscita a fare altrettanto e si è affidata a uno standard condiviso e non proprietario come RCS (Rich Communication Services), sviluppato dalla GSM Association. Un formato che mira a sostituire per sempre gli SMS con uno standard più attuale ed evoluto. Ora, Apple si è impegnata a supportare RCS entro il 2024. È una buona notizia, anche se la discriminazione cromatica non cambierà: i messaggi non Apple saranno sempre verdi.
» 6 mesi di Apple Music gratis con Playstation 5
Per chi è curioso di provare il servizio di musica in streaming targato Apple (o per chi semplicemente vuole sfruttare 6 mesi di musica gratuita e senza limiti), c’è una promozione importante da tenere d’occhio. Sony Playstation infatti ha stretto un accordo per offrire, a tutti gli utenti di Playstation 5, 6 mesi di Apple Music gratuita. Non male.
Se sei arrivato fino a qui, innanzitutto ti ringrazio.
Non ci siamo presentati: mi chiamo Franco Aquini e da anni scrivo di tecnologia e lavoro nel marketing e nella comunicazione.
Se hai apprezzato la newsletter Insalata Mista ti chiedo un favore: lascia un commento, una recensione, condividi la newsletter e più in generale parlane. Per me sarà la più grande ricompensa, oltre al fatto di sapere che hai gradito quello che ho scritto.
Franco Aquini
Ne abbiamo parlato nella precedente Insalata Mista che puoi trovare qui:
La F.O.M.O., un acronimo che sta per Fear Of Missing Out, è la deriva moderna del tam tam dei social network unita all’enorme disponibilità di strumenti di informazione e di intrattenimento. In pratica, è la paura di perdersi qualcosa e di non essere sempre al passo con i tempi. Con questa rubrica rispondiamo a queste paure, riassumendo in breve le notizie più significative della settimana, pescate dal mondo della tecnologia, dell’entertainment e del lifestyle.