Ormai lo sappiamo: le password dovrebbero essere tutte diverse. Usare la stessa password per tutti i nostri account è come lasciare cinquanta euro sul marciapiede… crisi o non crisi, qualcuno che si china a raccoglierle capita sicuro. Qualunque malintenzionato che si rispetti poi se vi becca una password la prova sul vostro servizio di email… e se entra lì grazie ai servizi di recupera password vi becca tutte le altre anche se le avete impostate diversamente.

Una soluzione poteva essere (e non a caso uso l’imperfetto) quella di usare un paio di password, una da utilizzare di routine per i servizi meno pericolosi (es. servizi di mera consultazione come Telepass.it) ed una da utilizzare per servizi di email e conto corrente.

Questo però prima che esplodessero i social network. I social network infatti devono essere considerati molto pericolosi per il furto di identità e più ne usiamo, più incorriamo nel rischio di vedercela soffiare magari dal quella finta app che chiede la password di Facebook e che promette di connetterci con tutti i nostri amici a cui piace il verde ed il nome inizia per A (e la realtà spesso supera la fantasia).

Per servizi come PayPal ci sono servizi innovativi e sicuri per la gestione delle credenziali come ci ha raccontato Federico Moretti.

L’ideale però sarebbe avere password tutte diverse e illeggibili cioè composte da sequenze di numeri e lettere apparentemente senza senso. Ma come fare a gestire mnemonicamente un elenco così smisurato di sequenze alfanumeriche evitando di girare con la chiavetta che le contenga tutte? (… così poi verifichiamo che la gente si china sul marciapiede anche a raccogliere le chiavette usb)

Sembra impossibile ma il metodo c’è. Non posso giurare di essere il primo ad averci pensato ma finora non ho trovato nessuno che utilizzasse il mio metodo.

In sostanza di tratta di ricavare la password dal nome del servizio. Ognuno può inventarsi la propria regola di trasformazione, il proprio algoritmo per dedurre la password.

Faccio un esempio. Mi invento un algoritmo del tipo: per il primo carattere prendo in considerazione il numero identificato dalla corrispondente posizione nell’alfabeto e per tutte le altre applico il Cifrario di Cesare con chiave 3 (che in sostanza significa traslare le lettere dell’alfabeto di 3 posizioni come spiegato da Wikipedia) mantenendo sempre il secondo carattere maiuscolo e tutto il resto minuscolo. Quindi se devo inventarmi la password per Facebook, convertendo il nome Facebook in password ottengo 6Dfherrn. Facile no? Provare per credere.

Possiamo ora sbizzarrirci ad inventare il nostro personale algoritmo (non applicare solo il Cifrario di Cesare tout court per pigrizia, mi raccomando!). Per esempio per aumentare la complessità della password possiamo sostituire tutte le a con delle @. In generale poi i servizi online chiedono una password di minimo otto caratteri. Quando il nome del servizio supera questa dimensione, nessun problema basta fermarsi all’ottavo carattere; se il nome del servizio fosse più corto (per esempio sei caratteri) suggerisco di ripetere l’algoritmo fino al completamento dell’ottavo carattere. Per PayPal diventa 15Dbsdos.

I vantaggi sono molteplici:

1. Mi basta ricordare una cosa sola: l’algoritmo di deduzione delle password e le ricavo tutte al volo e tutte diverse;

2. Le password che ne derivano sono di fatto illeggibili (da un malintenzionato che vi sbirciasse mentre le digitate) e in-scopribili da quei software che provano a raffica una serie di password tra le più usate (tra cui svettano le parole password, 12345678 e yoda);

3. Se per caso mi intercettano la password di un servizio basta che cambi solo quella mantenendo l’algoritmo e magari cambiano il verso di lettura del servizio (invece che dedurre la password dal nome Facebook la deduco dal nome koobecaf, ovvero Facebook al contrario).

4. L’algoritmo è in-indovinabile da parte di terzi anche se mi dovessero trovare un paio di password; ci vuole una certa statistica di parole convertite per dedurne l’algoritmo di conversione.

Condividiamo questo metodo: contribuirà a rendere più sicuro il web e a rendere la vita più difficile ai furfanti.

Photo credit: Bruno Santos via photopin cc